Darkgate kötü amaçlı yazılım işleminin yeni bir saldırı dalgası, güvenlik kontrollerini atlamak ve sahte yazılım yükleyicilerini otomatik olarak yüklemek için artık sabit bir Windows Defender SmartScreen güvenlik açığından yararlanıyor.
SmartScreen, kullanıcılar internetten indirilen tanınmayan veya şüpheli dosyaları çalıştırmaya çalıştığında bir uyarı görüntüleyen bir Windows güvenlik özelliğidir.
CVE-2024-21412 olarak izlenen kusur, özel olarak hazırlanmış indirilen dosyaların bu güvenlik uyarılarını atlamasına izin veren bir Windows Defender SmartScreen Kususudur.
Saldırganlar, uzak SMB paylaşımında barındırılan başka bir .Url dosyasına işaret eden bir Windows Internet kısayolu (.url dosyası) oluşturarak kusurdan yararlanabilir, bu da son konumdaki dosyanın otomatik olarak yürütülmesine neden olur.
Microsoft, Şubat ayının ortalarında kusuru düzeltti, trend Micro, finansal olarak motive olmuş su Hydra hackleme grubunun daha önce Darkme kötü amaçlı yazılımlarını tüccar sistemlerine bırakmak için sıfır gün olarak sömürdüğünü açıkladı.
Bugün trend mikro analistleri, Darkgate operatörlerinin hedeflenen sistemlerde başarı şanslarını (enfeksiyon) artırmak için aynı kusurdan yararlandığını bildirdi.
Bu, Pikabot ile birlikte geçen yaz QBOT'un aksaması tarafından yaratılan boşluğu dolduran ve kötü amaçlı yazılım dağılımı için birden fazla siber suçlu tarafından kullanılan kötü amaçlı yazılım için önemli bir gelişmedir.
Saldırı, e -posta güvenlik kontrollerini atlamak için Google DoubleClick Dijital Pazarlama (DDM) hizmetlerinden açık yönlendirmeleri kullanan bağlantılar içeren bir PDF eki içeren kötü niyetli bir e -posta ile başlar.
Bir kurban bağlantıyı tıkladığında, bir İnternet kısayol dosyasını barındıran tehlikeye atılmış bir web sunucusuna yönlendirilir. Bu kısayol dosyası (.url), saldırgan kontrollü bir WebDAV sunucusunda barındırılan ikinci bir kısayol dosyasına bağlanır.
Uzak bir sunucuda ikinci bir kısayolu açmak için bir Windows kısayol kullanmak, CVE-2024-21412 Kusurundan etkili bir şekilde kullanır ve kötü amaçlı bir MSI dosyasının cihazda otomatik olarak yürütülmesine neden olur.
Bu MSI dosyaları, NVIDIA, Apple iTunes uygulaması veya fikriden meşru yazılım olarak maskelendi.
MSI yükleyicisinin yürütülmesi üzerine, "libceef.dll" dosyasını ve "sqlite3.dll" adlı bir yükleyici içeren başka bir DLL kenar yükleme kusuru, sistemdeki Darkgate kötü amaçlı yazılım yükünü şifresini çözecek ve yürütecektir.
Başlatıldıktan sonra, kötü amaçlı yazılım verileri çalabilir, ek yükler getirebilir ve bunları çalışma işlemlerine enjekte edebilir, anahtar günlüğü gerçekleştirebilir ve saldırganlara gerçek zamanlı uzaktan erişim sağlayabilir.
Ocak ayının ortalarından beri Darkgate operatörleri tarafından kullanılan karmaşık ve çok aşamalı enfeksiyon zinciri aşağıdaki diyagramda özetlenmiştir:
Trend Micro, bu kampanyanın eski sürüm 5'e kıyasla xor şifreli yapılandırma, yeni yapılandırma seçenekleri ve komut ve kontrol (C2) değerleri hakkında güncellemeler içeren Darkgate sürüm 6.1.7 kullandığını söylüyor.
Darkgate 6'da bulunan yapılandırma parametreleri, operatörlerinin, başlangıç kalıcılığını etkinleştirmek veya analiz ortamlarından kaçmak için minimum disk depolama ve RAM boyutunu belirleme gibi çeşitli operasyonel taktikleri ve kaçış tekniklerini belirlemelerini sağlar.
Bu saldırılardan elde edilen riski azaltmanın ilk adımı, CVE-2024-21412'yi düzelten Microsoft'un Şubat 2024 Yaması güncellemesini uygulamak olacaktır.
Trend Micro, bu Web sayfasındaki bu Darkgate kampanyası için uzlaşma göstergelerinin (IOCS) tam listesini yayınladı.
Bilgisayar korsanları Darkme kötü amaçlı yazılımları bırakmak için yeni Windows Defender Zero Day kullandı
Bilgisayar korsanları, yeni DSLOG Backdoor'u dağıtmak için Ivanti SSRF Kusurdan İstismar
Raspberry Robin kötü amaçlı yazılım, Windows istismarlarına erken erişim ile gelişir
Microsoft Teams Kimlik avı Darkgate kötü amaçlı yazılımları grup sohbetleri yoluyla iter
Phemedrone kötü amaçlı yazılımları düşürmek için Windows Smartscreen Kususu
Kaynak: Bleeping Computer