Wykorzystanie luki CVE-2024-21412 przez operator贸w DarkGate do omini臋cia zabezpiecze艅 Microsoft Windows SmartScreen

Zesp贸艂 Trend Micro ujawni艂, 偶e w po艂owie stycznia 2024 roku inicjatywa Zero Day Initiative (ZDI) wykry艂a dzia艂ania kampanii DarkGate. Kampania ta wykorzystywa艂a luk臋 CVE-2024-21412 poprzez rozpowszechnianie fa艂szywych instalator贸w oprogramowania. U偶ytkownicy byli zwabiani za pomoc膮 plik贸w PDF, kt贸re zawiera艂y przekierowania open redirect Google DoubleClick Digital Marketing (DDM), kieruj膮ce niczego niepodejrzewaj膮ce ofiary na skompromitowane strony.

Wykorzystanie luki CVE-2024-21412 przez operator贸w DarkGate do omini臋cia zabezpiecze艅 Microsoft Windows SmartScreen
Wykorzystanie luki CVE-2024-21412 przez operator贸w DarkGate do omini臋cia zabezpiecze艅 Microsoft Windows SmartScreen

Zesp贸艂 Trend Micro ujawni艂, 偶e w po艂owie stycznia 2024 roku inicjatywa Zero Day Initiative (ZDI) wykry艂a dzia艂ania kampanii DarkGate. Kampania ta wykorzystywa艂a luk臋 CVE-2024-21412 poprzez rozpowszechnianie fa艂szywych instalator贸w oprogramowania. U偶ytkownicy byli zwabiani za pomoc膮 plik贸w PDF, kt贸re zawiera艂y przekierowania open redirect Google DoubleClick Digital Marketing (DDM), kieruj膮ce niczego niepodejrzewaj膮ce ofiary na skompromitowane strony. Te strony umo偶liwia艂y omini臋cie zabezpiecze艅 Microsoft Windows SmartScreen poprzez luk臋 CVE-2024-21412, prowadz膮c do zainstalowania z艂o艣liwego oprogramowania Microsoft (.MSI). W ramach kampanii phishingowej wykorzystywano URL-e przekierowuj膮ce od technologii reklamowych Google do dystrybucji fa艂szywych instalator贸w oprogramowania Microsoft (.MSI), udaj膮cych legitymacyjne aplikacje, takie jak Apple iTunes, Notion, NVIDIA i inne. Fa艂szywe instalatory zawiera艂y plik DLL, kt贸ry po za艂adowaniu deszyfrowa艂 i infekowa艂 u偶ytkownik贸w z艂o艣liwym oprogramowaniem DarkGate.

Open redirect inside phishing PDF, Trend Micro
Open redirect inside phishing PDF, Trend Micro

Szerszy kontekst analizy zero-day Water Hydra APT

Ta kampania by艂a cz臋艣ci膮 szerszej analizy zagro偶e艅 zero-day przez Water Hydra APT. ZDI uwa偶nie monitorowa艂a t臋 kampani臋, obserwuj膮c jej taktyk臋. U偶ycie fa艂szywych instalator贸w oprogramowania w po艂膮czeniu z przekierowaniami open redirect stanowi skuteczne narz臋dzie, kt贸re mo偶e prowadzi膰 do licznych infekcji. Niezmiernie wa偶ne jest, aby zachowa膰 czujno艣膰 i instruowa膰 u偶ytkownik贸w, by nie ufali 偶adnym instalatorom oprogramowania otrzymanym z nieoficjalnych 藕r贸de艂. Zar贸wno firmy, jak i indywidualni u偶ytkownicy musz膮 podj膮膰 proaktywne kroki w celu ochrony swoich system贸w przed takimi zagro偶eniami.

DarkGate, dzia艂aj膮cy na modelu malware-as-a-service (MaaS), jest jedn膮 z najbardziej rozpowszechnionych, zaawansowanych i aktywnych odmian z艂o艣liwego oprogramowania w 艣wiecie cyberprzest臋pczo艣ci. To z艂o艣liwe oprogramowanie cz臋sto wykorzystywane jest przez podmioty nastawione na zysk do atakowania organizacji w Ameryce P贸艂nocnej, Europie, Azji i Afryce.

Wykorzystanie przekierowa艅 open redirect w Google DoubleClick Digital Marketing (DDM)

W ostatnich latach, cyberprzest臋pcy wykorzystywali technologie reklamowe Google Ads do rozpowszechniania z艂o艣liwego oprogramowania. Opr贸cz kupowania przestrzeni reklamowej i sponsorowanych post贸w, przest臋pcy wykorzystywali r贸wnie偶 przekierowania open redirect w technologiach Google DDM. Wykorzystywanie open redirect mo偶e prowadzi膰 do wykonania kodu, zw艂aszcza gdy jest u偶ywane w po艂膮czeniu z omijaniem zabezpiecze艅, takich jak CVE-2023-36025 i CVE-2024-21412. Open redirects wykorzystuj膮 zaufanie zwi膮zane z g艂贸wnymi us艂ugami internetowymi i technologiami, kt贸re wi臋kszo艣膰 u偶ytkownik贸w uznaje za oczywiste.

Aby zainicjowa膰 艂a艅cuch infekcji DarkGate, sprawcy zagro偶e艅 wdro偶yli przekierowanie open redirect z domeny doubleclick[.]net w pliku PDF rozpowszechnianym przez kampani臋 phishingow膮, u偶ywaj膮c parametru 鈥瀉durl鈥, kt贸ry przekierowywa艂 ofiar臋 na skompromitowany serwer internetowy. Cel kampanii phishingowej musia艂 wybra膰 przycisk wewn膮trz pliku PDF, aby dosz艂o do wykorzystania luki CVE-2024-21412 i infekcji DarkGate.

Google wykorzystuje przekierowania URL jako cz臋艣膰 swojej platformy reklamowej i innych us艂ug reklamowych online. W swojej istocie, Google DoubleClick oferuje rozwi膮zania maj膮ce na celu pomoc reklamodawcom, wydawcom i agencjom reklamowym w zarz膮dzaniu i optymalizacji ich kampanii reklamowych online. W przesz艂o艣ci obserwowano wzrost nadu偶y膰 ekosystemu reklam Google do dostarczania z艂o艣liwego oprogramowania, w tym przez podmioty wykorzystuj膮ce popularne kradzie偶e MaaS takie jak Rhadamanthys i kradzie偶e macOS, takie jak Atomic Stealer (AMOS). Cyberprzest臋pcy mog膮 nadu偶ywa膰 technologii reklamowych Google, aby zwi臋kszy膰 zasi臋g z艂o艣liwego oprogramowania przez specyficzne kampanie reklamowe i targetowanie okre艣lonych odbiorc贸w.