Το Zero Day Initiative (ZDI) της Trend Micro, αποκάλυψε μια επίθεση phishing που εκμεταλλεύτηκε μια επιδιορθωμένη ευπάθεια της Microsoft, για να μολύνει συσκευές με DarkGate malware. Το CVE-2024-21412 ήταν η επιδιορθωμένη ευπάθεια της Microsoft που εκμεταλλεύτηκε χρησιμοποιώντας ψεύτικους εγκαταστάτες λογισμικού. Τα PDF που περιείχαν ανακατευθύνσεις ανοικτών διαδικτυακών μάρκετινγκ της Google DoubleClick, χρησιμοποιήθηκαν για να προσελκύσουν χρήστες να κατεβάσουν τους κακόβουλους εγκαταστάτες της Microsoft “*.MSI“.
Δείτε επίσης: Το malware AZORult εξαπλώνεται μέσω ψεύτικων ιστότοπων Google
Αυτή η εκστρατεία phishing χρησιμοποίησε ανοικτές ανακατευθύνσεις URL από τεχνολογίες διαφημίσεων της Google για τη διανομή των αρχείων Microsoft “.MSI”. Ένα αρχείο DLL που υπήρχε σε αυτούς τους ψεύτικους Εγκαταστάτες Λογισμικού της Microsoft χρησιμοποιήθηκε για να μολύνει συσκευές με το malware DarkGate. Μία ομάδα APT, γνωστή ως Water Hydra, πιστεύεται ότι βρίσκεται πίσω από την εκστρατεία του malware DarkGate.
Η καμπάνια του DarkGate malware, εκτελείται από τους δράστες σε πολλά στάδια. Η κατανόηση του τι συμβαίνει σε κάθε ένα από αυτά τα στάδια είναι ουσιώδης όταν πρόκειται για την προστασία από τέτοιου είδους απειλές. Ας εξετάσουμε λεπτομερώς κάθε ένα.
Οι επιθέσεις phishing με το DarkGate ξεκίνησαν με την ανάπτυξη ενός ανοιχτού redirect από τον τομέα doubleclick.net χρησιμοποιώντας ένα αρχείο PDF. Η παράμετρος “adurl“ ανακατεύθυνε τα θύματα σε έναν παραβιασμένο διακομιστή. Η εκμετάλλευση του CVE-2024-21412 δεν θα μπορούσε να ξεκινήσει χωρίς το θύμα να επιλέξει το κουμπί “Λήψη“ μέσα στο PDF.
Μετά την ανακατεύθυνση στον παραβιασμένο διακομιστή, τα θύματα βλέπουν το αρχείο first.URL. Η εκμετάλλευση του CVE-2014-21412 πραγματοποιείται όταν το αρχείο συντόμευσης internet first.URL ανακατευθύνει στο αρχείο another.URL. Η παράμετρος “URL=” χρησιμοποιείται από το αρχείο συντόμευσης internet για να κατευθύνει το θύμα στο επόμενο στάδιο της μόλυνσης από το DarkGate malware. Ένας διακομιστής WebDAV που ελέγχεται από τον επιτιθέμενο λειτουργεί πλέον ως host. Τα θύματα κατευθύνονται σε ένα αρχείο “.MSI” που περιέχει ένα αρχείο zip.
Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware
Κατά τη φάση αυτή, ένα αρχείο DLL εισάγεται χρησιμοποιώντας ένα αρχείο .MSI. Όσον αφορά το DarkGate payload, αποκρυπτογραφείται και χρησιμοποιείται από ένα σενάριο Autolt. Το malware DarkGate παρουσιάζεται ως νόμιμο λογισμικό όπως το Notion, το Apple iTunes, το NVIDIA και άλλα παρόμοια λογισμικά.
Το θύμα νομίζει ότι εγκαθιστά κανονικό λογισμικό στη συσκευή του, αλλά στην πραγματικότητα γίνεται θύμα της καμπάνιας DarkGate. Το DarkGate malware χρησιμοποιεί μια τεχνική πλευρικής φόρτωσης DLL, με την οποία φορτώνεται ένα κακόβουλο αρχείο DLL.
Αν και η Microsoft διόρθωσε αυτή την ευπάθεια zero-day στις ενημερώσεις Patch Tuesday του Φεβρουαρίου 2024, η ευπάθεια του Windows SmartScreen είχε ήδη εκμεταλλευτεί από την ομάδα APT, προκειμένου να επιτεθούν σε χρηματοοικονομικά ιδρύματα παραδίδοντας το malware DarkMe. Η Microsoft ζητά από τους χρήστες να εφαρμόσουν τη διόρθωση το συντομότερο δυνατό προκειμένου να προστατευτούν από την επίθεση phishing της ομάδας Water Hydra.
Δείτε επίσης: Το TheMoon malware μόλυνε 6.000 δρομολογητές της ASUS
Πώς μπορούν οι χρήστες να προστατευτούν από τις επιθέσεις phishing;
Οι χρήστες μπορούν να προστατευτούν από επιθέσεις phishing, όπως αυτή του DarkGate malware, ενημερώνοντας τακτικά το λογισμικό τους. Επίσης, είναι σημαντικό να είναι προσεκτικοί με τα email που λαμβάνουν. Πολλές φορές, τα phishing emails προσπαθούν να μιμηθούν επίσημες επικοινωνίες από γνωστές εταιρείες. Πάντα να ελέγχουν τη διεύθυνση email του αποστολέα και να αποφεύγουν το κλικ σε ύποπτους συνδέσμους. Η χρήση προστασίας από κακόβουλο λογισμικό και anti-phishing εργαλείων μπορεί επίσης να βοηθήσει στην προστασία από τις επιθέσεις phishing. Αυτά τα εργαλεία μπορούν να ανιχνεύσουν και να μπλοκάρουν ύποπτες ιστοσελίδες και emails. Τέλος, η εκπαίδευση είναι ένας από τους πιο αποτελεσματικούς τρόπους προστασίας από τις επιθέσεις phishing. Οι χρήστες πρέπει να είναι ενημερωμένοι για τις τελευταίες τεχνικές phishing και πώς να τις αναγνωρίσουν.
Πηγή: securityboulevard
