Uma campanha de malware do DarkGate observada em meados de janeiro de 2024 usou uma falha de segurança recentemente corrigida no Microsoft Windows como um zero-day utilizando instaladores de software falsos.
"Durante esta campanha, os usuários foram atraídos usando PDFs que continham redirecionamentos abertos do Google DoubleClick Digital Marketing (DDM) que levaram as vítimas desprevenidas a sites comprometidos que hospedavam o bypass do Microsoft Windows SmartScreen
CVE-2024-21412
que levava a instaladores maliciosos da Microsoft (.MSI)", disse Trend Micro.
CVE-2024-21412
(pontuação CVSS: 8.1) refere-se a uma vulnerabilidade de bypass de recursos de segurança de arquivos de atalho da internet, que permite que um invasor não autenticado contorne as proteções do SmartScreen enganando uma vítima para clicar em um arquivo especialmente criado.
Foi corrigido pela Microsoft como parte de suas atualizações de Patch Tuesday para fevereiro de 2024, mas não antes de ser usado por um ator de ameaça chamado Water Hydra (também conhecido como DarkCasino) para entregar o malware DarkMe em ataques direcionados a instituições financeiras.
As últimas descobertas da Trend Micro mostram que a vulnerabilidade foi explorada de forma mais ampla do que se pensava anteriormente, com a campanha DarkGate se aproveitando dela em conjunto com redirecionamentos abertos dos anúncios do Google para proliferar o malware.
A sofisticada cadeia de ataques começa com as vítimas clicando em um link incorporado em um anexo PDF enviado por email de phishing.
O link implanta um redirecionamento aberto do domínio doubleclick[.]net do Google para um servidor web comprometido que hospeda um arquivo de atalho de internet malicioso .URL que explora
CVE-2024-21412
.
Especificamente, os redirecionamentos abertos são projetados para distribuir instaladores de software Microsoft falsos (.MSI) disfarçados como software legítimo, como Apple iTunes, Notion, NVIDIA, que vem equipados com um arquivo DLL carregado lateralmente que decifrou e infectou usuários com DarkGate (versão 6.1.7).
Vale a pena notar que outra falha de bypass agora corrigida no Windows SmartScreen (
CVE-2023-36025
, pontuação CVSS: 8.8) tem sido empregados por atores de ameaça para entregar DarkGate, Phemedrone Stealer e Mispadu nos últimos meses.
O abuso de tecnologias do Google Ads permite que os atores de ameaça aumentem o alcance e a escala de seus ataques através de diferentes campanhas publicitárias que são adaptadas para públicos específicos.
"Usar instaladores de software falsos, juntamente com redirecionamentos abertos, é uma combinação potente e pode levar a muitas infecções", disseram os pesquisadores de segurança Peter Girnus, Aliakbar Zahravi e Simon Zuckerbraun.
"É essencial permanecer vigilante e instruir os usuários a não confiarem em qualquer instalador de software que recebam fora dos canais oficiais."
Outras descobertas recentes do AhnLab Security Intelligence Center (ASEC) e eSentire revelaram que instaladores falsos para Adobe Reader, Notion e Synaptics estão sendo distribuídos por meio de arquivos PDF falsos e sites aparentemente legítimos para distribuir ladrões de informações como LummaC2 e o XRed backdoor.
Isso também segue a descoberta de novas famílias de malware stealer como Planet Stealer, Rage Stealer (também conhecido como xStealer) e Tweaks (também conhecido como Tweaker), contribuindo para a infinidade de ameaças cibernéticas que são capazes de coletar informações sensíveis de hosts comprometidos.
"Os invasores estão explorando plataformas populares, como YouTube e Discord, para distribuir Tweaks para usuários do Roblox, aproveitando a capacidade de plataformas legítimas de evitar a detecção por listas de bloqueio de filtro da web que normalmente bloqueiam servidores maliciosos conhecidos", disse Zscaler ThreatLabz.
"Os invasores compartilham arquivos maliciosos disfarçados de pacotes de otimização do Frames Per Second (FPS) com os usuários e, por sua vez, os usuários infectam seus próprios sistemas com malware Tweaks."
O stealer baseado em PowerShell é equipado para extrair dados sensíveis, incluindo informações do usuário, localização, perfis Wi-Fi, senhas, IDs do Roblox e detalhes de moeda do jogo, para um servidor controlado pelo invasor via um webhook do Discord.
Campanhas de malvertising e engenharia social também foram observadas atuando como um vetor de acesso inicial para disseminar uma ampla gama de trojans de acesso remoto como Agent Tesla, CyberGate RAT, Fenix botnet, Matanbuchus, NarniaRAT, Remcos RAT, Rhadamanthys, SapphireStealer e zgRAT.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...