Flaw de Windows SmartScreen Bypass explotado para distribuir DarkGate RAT

Operadores de malware DarkGate han estado explotando una vulnerabilidad de bypass de Windows SmartScreen ahora parcheada a través de una campaña de phishing que distribuye instaladores falsos de software de Microsoft para propagar el código malicioso.

Investigadores de Trend Micro, entre otros, descubrieron una vulnerabilidad de omisión de la función de seguridad de Archivos de Acceso Directo a Internet, rastreada como CVE-2024-21412, a principios de este año, la cual Microsoft parcheó como parte de sus actualizaciones de Patch Tuesday de febrero. Esto ocurrió antes de que los atacantes, como Water Hydra, la explotaran con fines nefastos.

Ahora, los investigadores de Trend Micro han descubierto que los actores de DarkGate también aprovecharon la vulnerabilidad en una campaña a mediados de enero que atrajo a usuarios con PDFs que contenían redirecciones abiertas de Google DoubleClick Digital Marketing (DDM), según una publicación de blog de la Iniciativa de Día Cero (ZDI) de Trend Micro esta semana. Estas redirecciones llevaron a las víctimas a sitios comprometidos que alojaban el bypass de Microsoft Windows SmartScreen CVE-2024-21412, lo que a su vez llevó a instaladores maliciosos de Microsoft (.MSI).

“En esta cadena de ataque, los operadores de DarkGate han abusado de la confianza otorgada a los dominios relacionados con Google al abusar de las redirecciones abiertas de Google, emparejadas con CVE-2024-21412, para eludir las protecciones de Microsoft Defender SmartScreen, lo que da luz verde a las víctimas para la infección por malware”, explicaron los investigadores de Trend Micro Peter Girnus, Aliakbar Zahravi y Simon Zuckerbraun en el post. “El uso de instaladores de software falsos, junto con redirecciones abiertas, es una combinación potente y puede llevar a muchas infecciones.”

DarkGate es un troyano de acceso remoto (RAT) escrito en Borland Delphi que se ha anunciado como un malware como servicio (MaaS) en un foro de cibercrimen en idioma ruso desde al menos 2018, según Trend Micro. Los investigadores describen a DarkGate como “una de las cepas de malware más prolíficas, sofisticadas y activas en el mundo del cibercrimen.”

El malware tiene varias características, incluida la inyección de procesos, la descarga y ejecución de archivos, el robo de información, la ejecución de comandos de shell y capacidades de registro de teclas, entre otras. También emplea múltiples técnicas de evasión.

DarkGate ha sido utilizado ampliamente no solo por sus operadores, sino también por varios actores de amenazas motivados financieramente para atacar organizaciones en América del Norte, Europa, Asia y África.

Abuso de Redirecciones Abiertas de Google

La vulnerabilidad que se está explotando en la campaña está vinculada a una omisión de un bypass de seguridad de SmartScreen previamente parcheado, CVE-2023-36025, que afecta a todas las versiones de Windows compatibles.

La campaña de DarkGate observada por TrendMicro utiliza una táctica común abusada por actores de amenazas para usar redirecciones abiertas en tecnologías de Google DoubleClick Digital Marketing (DDM), que pueden llevar a la ejecución de código cuando se emparejan con eludidos de seguridad.

“Google utiliza redirecciones de URL como parte de su plataforma publicitaria y suite de otros servicios de publicidad en línea”, explicaron los investigadores. DDM rastrea las consultas que el usuario envía y muestra anuncios relevantes según la consulta, y está diseñado para ayudar a los anunciantes, editores y agencias de publicidad a gestionar y optimizar campañas publicitarias en línea.

También tiene un lado oscuro en el que los actores de amenazas pueden abusar para aumentar el alcance del malware a través de campañas publicitarias específicas y al dirigirse a audiencias específicas, observaron los investigadores. De hecho, esta actividad está en aumento y también se ha utilizado para propagar otros malware, incluidos los populares robadores de MaaS como Rhadamanthys y robadores de macOS como Atomic Stealer (AMOS), dijeron.

Con respecto a la campaña de phishing de DarkGate, si un usuario hace clic en el señuelo PDF en el correo electrónico malicioso, desencadena una redirección abierta desde el dominio doubleclick[.]net, desviando al usuario a un servidor web comprometido que explota CVE-2024-21412 al redirigir a otro archivo de acceso directo a Internet. Esto eventualmente lleva a una ejecución multietapa del malware DarkGate, que en este caso es la versión 6.1.7 e incluye algunas mejoras sobre versiones anteriores vistas en la naturaleza, dijeron los investigadores.

“Los principales cambios… incluyen el cifrado XOR para la configuración, la adición de nuevos valores de configuración, una reorganización de los órdenes de configuración para superar el extractor de configuración de automatización de la versión 5, y actualizaciones a los valores de comando de control (C&C)”, escribieron en el post.

Los administradores de sistemas Windows pueden evitar la compromisión por la campaña de explotación de DarkGate CVE-2024-21412 parcheando sus sistemas con la solución que Microsoft ha proporcionado. Además de esto, hay otros pasos que las organizaciones pueden tomar para defender sus entornos tecnológicos.

Uno es el entrenamiento e instrucción de los empleados, especialmente cuando se trata de instalar software desconocido en sus máquinas, señalaron los investigadores. “Es esencial permanecer vigilante e instruir a los usuarios para que no confíen en ningún instalador de software que reciban fuera de los canales oficiales”, escribieron.

La defensa cibernética más amplia incluye el monitoreo continuo e identificación de la superficie de ataque más amplia del entorno, incluidos los activos cibernéticos conocidos, desconocidos, gestionados y no gestionados.

Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.