В середине января исследователями безопасности была замечена новая масштабная кампания по распространению вредоносного программного обеспечения DarkGate, эксплуатирующая недавно исправленную уязвимость в системе безопасности Microsoft Windows, причём ещё до её исправления, то есть в формате Zero-day.
По данным компании Trend Micro, атаки начинались с применения PDF-файлов, содержащих открытые перенаправления Google DoubleClick, которые вели жертв на скомпрометированные сайты. На этих сайтах использовалась уязвимость CVE-2024-21412, позволяющая обходить защиту Windows SmartScreen и устанавливать вредоносные инсталляторы, имитирующие популярные приложения по типу iTunes, Notion и NVIDIA, распространяемые в формате “.msi”.
Уязвимость CVE-2024-21412, имеющая оценку в 8.1 балла по шкале CVSS, позволяет неаутентифицированным атакующим обходить защиту SmartScreen, путём использования специально созданного вредоносного файла.
Как было отмечено выше, Microsoft исправил эту уязвимость в рамках февральского пакета обновлений Patch Tuesday, однако до этого времени она была использована не только для распространения DarkGate, но и для доставки вредоноса DarkMe, используемого группировкой Water Hydra. Целью этих атак стали финансовые учреждения.
Что же касается DarkGate, в этой операции хакеры использовали CVE-2024-21412 в сочетании с перенаправлениями из Google Ads для распространения вредоносного ПО. Жертвы переходят по ссылке из вложенного PDF-файла, полученного через фишинговое письмо, что приводит к загрузке злонамеренного файла, эксплуатирующего вышеуказанную уязвимость.
Помимо CVE-2024-21412 специалисты также зафиксировали использование для доставки DarkGate другой уязвимости Windows SmartScreen – CVE-2023-36025 с оценкой 8.8 по шкале CVSS, которую успешно эксплуатировали хакеры из TA544 ещё в ноябре прошлого года.
Исследователи безопасности подчёркивают важность бдительности и необходимость избегать установки программного обеспечения из ненадёжных источников. Это касается как фальшивых установщиков, так и злоупотребления технологиями Google Ads, позволяющих злоумышленникам масштабировать свои атаки.
Кроме того, специалистами отмечается рост числа новых семейств вредоносных программ, способных похищать конфиденциальную информацию, а также рост использования популярных платформ для распространения вредоносного ПО, зачастую с элементами социальной инженерии.
Выводы исследователей подчёркивают сложность обеспечения безопасности современного киберпространства и необходимость комплексного подхода к цифровой защите как для организаций, так и для отдельных пользователей.