Новости

Вредоносная программа DarkGate использует недавно обнаруженную уязвимость Microsoft

Новый вид атаки с использованием вредоносной программы DarkGate основан на недавно исправленной уязвимости SmartScreen Windows Defender. Это позволяет злоумышленникам обходить проверки безопасности и автоматически устанавливать фальшивые установщики программного обеспечения. О такой активности сообщила команда исследователей Trend Micro. Эти атаки были замечены ещё в середине января текущего года, то есть мы говорим о так называемых атаках нулевого дня.

Уязвимость CVE-2024-21412 (оценка CVSS: 8,1) связана с обходом функции безопасности файлов ярлыков интернета. Благодаря этому неаутентифицированный злоумышленник может обойти защиту SmartScreen, заставив жертву кликнуть на специально созданный файл.

Эта проблема была решена в феврале 2024 года. Однако до этого злоумышленник Water Hydra (также известный как DarkCasino) уже успел использовать её для доставки вредоносной программы DarkMe при атаках на финансовые учреждения.

Согласно последним данным Trend Micro, эта уязвимость используется гораздо шире, чем предполагалось ранее. Программа DarkGate использует её вместе с открытыми перенаправлениями из Google Ads для распространения вредоносного ПО.

Атака начинается с того, что жертва кликает на ссылку, встроенную во вложение PDF, которое пришло по почте в виде фишингового письма. Эта ссылка приводит к открытому перенаправлению с домена Google Doubleclick.net на скомпрометированный веб-сервер, где находится вредоносный файл ярлыка .URL.

Открытые перенаправления используются для распространения фальшивых установщиков программного обеспечения Microsoft (.MSI), которые выдаются за официальное программное обеспечение, например Apple iTunes, Notion, NVIDIA. Такие установщики содержат дополнительный неопубликованный файл DLL, который заражает пользователей вирусом DarkGate, версия 6.1.7.

Стоит отметить, что за последние несколько месяцев злоумышленники использовали ещё одну исправленную уязвимость обхода в Windows SmartScreen (CVE-2023-36025, оценка CVSS: 8,8) для доставки DarkGate, Phemedrone Stealer и Mispadu.

Злоупотребление сервисами Google Ads позволяет злоумышленникам увеличить охват и масштаб своих атак с помощью различных рекламных кампаний, адаптированных под конкретную аудиторию.
Отслеживать уязвимости непросто и трудозатратно. Для 100% выполнения работы нужно иметь два укомплектованных отдела ИБ и ИТ. Первые будут мониторить и выявлять уязвимости, вторые их устранять. Давайте будем честны, это дорого.

Есть такой подход - управление уязвимостями. Циклический процесс сканирования, выявления и устранения уязвимостей. И так далее по кругу. В нем 5 этапов.

Есть такой продукт - MaxPatrol VM. Его главная задача выполнять 4 из 5 пунктов за вас. Автоматизировано. Самое главное и сложное - настроить его работу под вашу структуру компании. Этим занимаемся мы - Экстрим Безопасность. Сотрудникам остается устранять уязвимости. Не все подряд, а действительно критически значимые. MavPatrol VM покажет и точно тыкнет пальчиком где эти уязвимости.

Мы проводим бесплатные пилоты в вашей инфраструктуре. Оставить свой контакт на обратный звонок можно внизу этой страницы.
Уязвимости