En enero de 2024, se descubrió una campaña de malware conocida como DarkGate que explotaba una reciente vulnerabilidad de seguridad en Microsoft Windows. Según Trend Micro, los usuarios eran engañados a través de archivos PDF con redirecciones de Google DoubleClick Digital Marketing (DDM) que llevaban a sitios comprometidos que alojaban CVE-2024-21412, una vulnerabilidad que permitía instalar software malicioso de Microsoft (.MSI) a través de la omisión del sistema de protección inteligente de Windows SmartScreen.
La vulnerabilidad CVE-2024-21412 se trata de la omisión de una característica de seguridad de archivos de acceso directo a Internet que permitía a los atacantes eludir las protecciones de SmartScreen engañando al usuario para que haga clic en un archivo cuidadosamente diseñado. Esta vulnerabilidad fue reparada por Microsoft en las actualizaciones para «Patch Tuesday» en febrero de 2024, pero no antes de que fuera utilizada por un actor malintencionado llamado Water Hydra (también conocido como DarkCasino) para propagar el malware DarkMe que afectó a las instituciones financieras.
Los últimos hallazgos de Trend Micro muestran que esta vulnerabilidad ha sido explotada más de lo que se creía anteriormente, con la campaña DarkGate combinando la vulnerabilidad con redirecciones de anuncios de Google para infectar con malware. La cadena de ataque sofisticado comienza con las víctimas haciendo clic en un enlace en un archivo PDF que se envía a través de correo electrónico phishing. El enlace a su vez, utiliza una redirección abierta del dominio doubleclick[.]net de Google a un servidor web comprometido que aloja un archivo URL de acceso directo a Internet que explota CVE-2024-21412.
Las redirecciones son diseñadas para distribuir instaladores falsos de software de Microsoft (.MSI) que se suplantan a otros como Apple iTunes, Notion, NVIDIA, que vienen con un archivo DLL instalado con el malware DarkGate (versión 6.1.7). Otra vulnerabilidad ya parcheada en SmartScreen de Windows (CVE-2023-36025) también ha sido explotada por actores de amenazas para propagar el malware DarkGate, Phemedrone Stealer y Mispadu en los últimos meses.
Los atacantes utilizan plataformas populares como YouTube y Discord para distribuir Tweaks a usuarios de Roblox, utilizando la capacidad de estas plataformas legítimas para evadir la detección por parte de las listas de bloqueo de servidores maliciosos. El stealer basado en PowerShell está diseñado para extraer información sensible, incluyendo información del usuario, ubicación, perfiles de wifi, contraseñas, identificaciones Roblox y detalles de moneda de juego, a un servidor controlado por el atacante a través de un webhook de Discord.
En resumen, se han detectado campañas de malware y de ingeniería social que utilizan diversos vectores de acceso para propagar una amplia gama de stealer y troyanos de acceso remoto como Agent Tesla, CyberGate RAT, la botnet Fenix, Matanbuchus, NarniaRAT, Remcos RAT, Rhadamanthys, SapphireStealer y zgRAT. Es esencial que los usuarios se mantengan vigilantes y aprendan a no confiar en ningún instalador de software que reciban fuera de los canales oficiales.
Vía The Hacker News
La entrada El malware DarkGate explota vulnerabilidad recién parcheada de Microsoft en un ataque de día cero se publicó primero en News Bender Daily.
