DarkGate 惡意軟件操作發(fā)起的新一波攻擊，利用現已修復的 Windows Defender SmartScreen 漏洞來繞過安全檢查，并自動安裝虛假軟件安裝程序。

SmartScreen 是一項 Windows 安全功能，當用戶嘗試運行從 Internet 下載的無法識別或可疑文件時，它會顯示警告。

被追蹤為 CVE-2024-21412 的缺陷是 Windows Defender SmartScreen 缺陷，允許特制的下載文件繞過這些安全警告。

攻擊者可以通過創(chuàng)建指向遠程 SMB 共享上托管的另一個 .url 文件的 Windows Internet 快捷方式(.url 文件)來利用該缺陷，這將導致最終位置的文件自動執(zhí)行。

微軟于 2 月中旬修復了該漏洞。出于經濟動機的 Water Hydra 黑客組織此前就曾利用該漏洞作為零日漏洞 ，將其 DarkMe 惡意軟件植入到交易者的系統中。

有分析師報告稱，DarkGate 運營商正在利用相同的缺陷來提高他們在目標系統上成功(感染)的機會。

該惡意軟件與 Pikabot 一起填補了去年夏天 QBot 破壞造成的空白 ，并被多個網絡犯罪分子用于分發(fā)惡意軟件。

DarkGate 攻擊細節(jié)

該攻擊從一封惡意電子郵件開始，其中包含一個 PDF 附件，其中的鏈接利用 Google DoubleClick 數字營銷 (DDM) 服務的開放重定向，來繞過電子郵件安全檢查。

當受害者點擊該鏈接時，他們會被重定向到托管互聯網快捷方式文件的受感染 Web 服務器。此快捷方式文件 (.url) 鏈接到托管在攻擊者控制的 WebDAV 服務器上的第二個快捷方式文件。

利用 CVE-2024-21412 SmartScreen 漏洞

使用一個 Windows 快捷方式在遠程服務器上打開第二個快捷方式，可有效利用 CVE-2024-21412 缺陷，導致惡意 MSI 文件在設備上自動執(zhí)行。

自動安裝 MSI 文件的第二個 URL 快捷方式

這些 MSI 文件偽裝成來自 NVIDIA、Apple iTunes 應用程序或 Notion 的合法軟件。

執(zhí)行 MSI 安裝程序后，涉及“l(fā)ibcef.dll”文件和名為“sqlite3.dll”的加載程序的另一個 DLL 側載缺陷將解密并執(zhí)行系統上的 DarkGate 惡意軟件負載。

一旦初始化，惡意軟件就可以竊取數據，獲取額外的有效負載并將其注入正在運行的進程中，執(zhí)行按鍵日志記錄，并為攻擊者提供實時遠程訪問。

自 2024 年 1 月中旬以來，DarkGate 運營商采用的復雜且多步驟的感染鏈總結如下：

DarkGate感染鏈

該活動采用了 DarkGate 6.1.7 版本，與舊版本 5 相比，該版本具有 XOR 加密配置、新配置選項以及命令和控制 (C2) 值的更新。

DarkGate 6 中提供的配置參數，使其操作員能夠確定各種操作策略和規(guī)避技術，例如啟用啟動持久性或指定最小磁盤存儲和 RAM 大小以規(guī)避分析環(huán)境。

DarkGate v6配置參數

減輕這些攻擊風險的第一步是應用 Microsoft 的 2024 年 2 月補丁星期二更新，該更新修復了 CVE-2024-21412。

參考及來源：

https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

原文來源：嘶吼專業(yè)版