&

您所在的位置：首頁(yè) > 新聞資訊 > 威脅情報(bào) > 黑客利用 Windows SmartScreen 漏洞投放 DarkGate 惡意軟件

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 惡意軟件

DarkGate 惡意軟件操作發(fā)起的新一波攻擊，利用現(xiàn)已修復(fù)的 Windows Defender SmartScreen 漏洞來(lái)繞過(guò)安全檢查，并自動(dòng)安裝虛假軟件安裝程序。

SmartScreen 是一項(xiàng) Windows 安全功能，當(dāng)用戶(hù)嘗試運(yùn)行從 Internet 下載的無(wú)法識(shí)別或可疑文件時(shí)，它會(huì)顯示警告。

被追蹤為 CVE-2024-21412 的缺陷是 Windows Defender SmartScreen 缺陷，允許特制的下載文件繞過(guò)這些安全警告。

攻擊者可以通過(guò)創(chuàng)建指向遠(yuǎn)程 SMB 共享上托管的另一個(gè) .url 文件的 Windows Internet 快捷方式(.url 文件)來(lái)利用該缺陷，這將導(dǎo)致最終位置的文件自動(dòng)執(zhí)行。

微軟于 2 月中旬修復(fù)了該漏洞。出于經(jīng)濟(jì)動(dòng)機(jī)的 Water Hydra 黑客組織此前就曾利用該漏洞作為零日漏洞，將其 DarkMe 惡意軟件植入到交易者的系統(tǒng)中。

有分析師報(bào)告稱(chēng)，DarkGate 運(yùn)營(yíng)商正在利用相同的缺陷來(lái)提高他們?cè)谀繕?biāo)系統(tǒng)上成功(感染)的機(jī)會(huì)。

該惡意軟件與 Pikabot 一起填補(bǔ)了去年夏天 QBot 破壞造成的空白，并被多個(gè)網(wǎng)絡(luò)犯罪分子用于分發(fā)惡意軟件。

DarkGate 攻擊細(xì)節(jié)

該攻擊從一封惡意電子郵件開(kāi)始，其中包含一個(gè) PDF 附件，其中的鏈接利用 Google DoubleClick 數(shù)字營(yíng)銷(xiāo) (DDM) 服務(wù)的開(kāi)放重定向，來(lái)繞過(guò)電子郵件安全檢查。

當(dāng)受害者點(diǎn)擊該鏈接時(shí)，他們會(huì)被重定向到托管互聯(lián)網(wǎng)快捷方式文件的受感染 Web 服務(wù)器。此快捷方式文件 (.url) 鏈接到托管在攻擊者控制的 WebDAV 服務(wù)器上的第二個(gè)快捷方式文件。

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 惡意軟件1

利用 CVE-2024-21412 SmartScreen 漏洞

使用一個(gè) Windows 快捷方式在遠(yuǎn)程服務(wù)器上打開(kāi)第二個(gè)快捷方式，可有效利用 CVE-2024-21412 缺陷，導(dǎo)致惡意 MSI 文件在設(shè)備上自動(dòng)執(zhí)行。

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 惡意軟件2

自動(dòng)安裝 MSI 文件的第二個(gè) URL 快捷方式

這些 MSI 文件偽裝成來(lái)自 NVIDIA、Apple iTunes 應(yīng)用程序或 Notion 的合法軟件。

執(zhí)行 MSI 安裝程序后，涉及“l(fā)ibcef.dll”文件和名為“sqlite3.dll”的加載程序的另一個(gè) DLL 側(cè)載缺陷將解密并執(zhí)行系統(tǒng)上的 DarkGate 惡意軟件負(fù)載。

一旦初始化，惡意軟件就可以竊取數(shù)據(jù)，獲取額外的有效負(fù)載并將其注入正在運(yùn)行的進(jìn)程中，執(zhí)行按鍵日志記錄，并為攻擊者提供實(shí)時(shí)遠(yuǎn)程訪問(wèn)。

自 2024 年 1 月中旬以來(lái)，DarkGate 運(yùn)營(yíng)商采用的復(fù)雜且多步驟的感染鏈總結(jié)如下：

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 惡意軟件3

DarkGate感染鏈

該活動(dòng)采用了 DarkGate 6.1.7 版本，與舊版本 5 相比，該版本具有 XOR 加密配置、新配置選項(xiàng)以及命令和控制 (C2) 值的更新。

DarkGate 6 中提供的配置參數(shù)，使其操作員能夠確定各種操作策略和規(guī)避技術(shù)，例如啟用啟動(dòng)持久性或指定最小磁盤(pán)存儲(chǔ)和 RAM 大小以規(guī)避分析環(huán)境。

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 惡意軟件4

DarkGate v6配置參數(shù)

減輕這些攻擊風(fēng)險(xiǎn)的第一步是應(yīng)用 Microsoft 的 2024 年 2 月補(bǔ)丁星期二更新，該更新修復(fù)了 CVE-2024-21412。

參考及來(lái)源：

https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

原文來(lái)源：嘶吼專(zhuān)業(yè)版