Een DarkGate-malwarecampagne die medio januari 2024 werd waargenomen, maakte gebruik van een onlangs gepatchte beveiligingsfout in Microsoft Windows als een zero-day met behulp van valse software-installatieprogramma’s.
“Tijdens deze campagne werden gebruikers gelokt met behulp van pdf’s die open omleidingen van Google DoubleClick Digital Marketing (DDM) bevatten die nietsvermoedende slachtoffers naar gecompromitteerde sites leidden die de Microsoft Windows SmartScreen hosten, en CVE-2024-21412 omzeilden die naar kwaadaardige Microsoft (.MSI) installatieprogramma’s leidden, ‘, aldus TrendMicro.
CVE-2024-21412 (CVSS-score: 8.1) betreft een beveiligingsfunctie voor internetsnelkoppelingen die een kwetsbaarheid omzeilt die een niet-geverifieerde aanvaller in staat stelt de SmartScreen-beveiligingen te omzeilen door een slachtoffer te misleiden zodat hij op een speciaal vervaardigd bestand klikt.
Het werd door Microsoft opgelost als onderdeel van de Patch Tuesday-updates voor februari 2024, maar niet voordat het werd bewapend door een bedreigingsacteur genaamd Water Hydra (ook bekend als DarkCasino) om de DarkMe-malware af te leveren bij aanvallen gericht op financiële instellingen.
De nieuwste bevindingen van Trend Micro laten zien dat de kwetsbaarheid breder wordt uitgebuit dan eerder werd gedacht, waarbij de DarkGate-campagne er gebruik van maakte in combinatie met open omleidingen van Google Ads om de malware te verspreiden.
De geavanceerde aanvalsketen begint met het klikken van slachtoffers op een link die is ingebed in een pdf-bijlage die via een phishing-e-mail is verzonden. De link implementeert een open omleiding van de dubbelklik van Google[.]net-domein naar een gecompromitteerde webserver die een kwaadaardig .URL-internetsnelkoppelingsbestand host dat misbruik maakt van CVE-2024-21412.
De open omleidingen zijn specifiek ontworpen om valse Microsoft-software-installatieprogramma’s (.MSI) te verspreiden die zich voordoen als legitieme software, zoals Apple iTunes, Notion en NVIDIA, die zijn uitgerust met een aan de zijkant geladen DLL-bestand dat gebruikers decodeert en infecteert met DarkGate (versie 6.1.7).
Het is vermeldenswaard dat een andere inmiddels opgeloste bypass-fout in Windows SmartScreen (CVE-2023-36025, CVSS-score: 8,8) de afgelopen maanden door bedreigingsactoren is gebruikt om DarkGate, Phemedrone Stealer en Mispadu te leveren.
Door misbruik van Google Ads-technologieën kunnen bedreigingsactoren het bereik en de schaal van hun aanvallen vergroten via verschillende advertentiecampagnes die zijn afgestemd op specifieke doelgroepen.
“Het gebruik van valse software-installatieprogramma’s, samen met open omleidingen, is een krachtige combinatie en kan tot veel infecties leiden”, aldus beveiligingsonderzoekers Peter Girnus, Aliakbar Zahravi en Simon Zuckerbraun. “Het is essentieel om waakzaam te blijven en gebruikers te instrueren om geen software-installatieprogramma te vertrouwen dat ze buiten de officiële kanalen ontvangen.”
De ontwikkeling komt op het moment dat het AhnLab Security Intelligence Center (ASEC) en eSentire onthulden dat valse installatieprogramma’s voor Adobe Reader, Notion en Synaptics worden verspreid via valse PDF-bestanden en schijnbaar legitieme websites om informatiestelers zoals LummaC2 en de XRed-achterdeur in te zetten.
Het volgt ook de ontdekking van nieuwe stealer-malwarefamilies zoals Planet Stealer, Rage Stealer (ook bekend als xStealer), en Tweaks (ook bekend als Tweaker), wat bijdraagt aan de overvloed aan cyberbedreigingen die in staat zijn gevoelige informatie van gecompromitteerde hosts te verzamelen.
“Aanvallers maken misbruik van populaire platforms, zoals YouTube en Discord, om Tweaks te verspreiden onder Roblox-gebruikers, waarbij ze profiteren van het vermogen van legitieme platforms om detectie te omzeilen door webfilterbloklijsten die doorgaans bekende kwaadaardige servers blokkeren”, aldus Zscaler ThreatLabz.
“Aanvallers delen kwaadaardige bestanden vermomd als Frames Per Second (FPS)-optimalisatiepakketten met gebruikers en op hun beurt infecteren gebruikers hun eigen systemen met Tweaks-malware.”
De op PowerShell gebaseerde stealer is uitgerust om gevoelige gegevens, waaronder gebruikersinformatie, locatie, Wi-Fi-profielen, wachtwoorden, Roblox-ID’s en in-game valutagegevens, te exfiltreren naar een door de aanvaller bestuurde server via een Discord-webhook.
Er is ook waargenomen dat malvertising- en social engineering-campagnes fungeren als een initiële toegangsvector voor de verspreiding van een breed scala aan trojans voor stealer en externe toegang, zoals Agent Tesla, CyberGate RAT, Fenix-botnet, Matanbuchus, NarniaRAT, Remcos RAT, Rhadamanthys, SapphireStealer en zgRAT.
