براساس تازهترین گزارشها، هکرها از نقصی امنیتی در Windows SmartScreen برای انتشار بدافزار DarkGate استفاده میکنند.
بهگزارش تکناک، موج جدیدی از حملات ازطریق بدافزار DarkGate از آسیبپذیری رفعشده در Windows Defender SmartScreen برای دورزدن بررسیهای امنیتی و نصب خودکار نرمافزارهای جعلی استفاده میکند. SmartScreen یکی از ویژگیهای امنیتی ویندوز است که هنگام تلاش کاربران برای اجرای فایلهای ناشناخته یا مشکوک دانلودشده از اینترنت هشدار میدهد.
بلیپینگ کامپیوتر مینویسد که آسیبپذیری ردیابیشده با شناسه CVE-2024-21412 نقصی در Windows Defender SmartScreen است که به فایلهای دانلودشده با ساختار خاص اجازه میدهد تا از این هشدارهای امنیتی عبور کنند. مهاجمان میتوانند با ایجاد میانبر اینترنتی ویندوز (فایل .url) که به فایل .url دیگر در اشتراک راه دور SMB اشاره میکند، از این نقص امنیتی سوءاستفاده کنند. این کار باعث میشود تا فایلی که در موقعیت نهایی قرار دارد، بهطور خودکار اجرا شود.
مایکروسافت این نقص را در اواسط فوریه برطرف کرد؛ درحالیکه ترند میکرو فاش کرد گروه هکری واتر هیدرا پیشازاین از نقص یادشده بهعنوان حمله «روز صفر» برای انتقال بدافزار DarkMe به سیستمهای معاملهگران استفاده کرده است. تحلیلگران ترند میکرو امروز گزارش دادند که عاملان DarkGate از همان نقص برای افزایش شانس موفقیت آلودگی در سیستمهای هدف استفاده میکنند.
این پیشرفتی مهم برای بدافزار یادشده است که بههمراه Pikabot، جای خالی ایجادشده با اختلال QBot در تابستان گذشته را پر کرده است و مجرمان سایبری بسیاری از آن برای توزیع بدافزار استفاده میکنند.
جزئیات حمله DarkGate
حمله با ایمیل مخرب حاوی پیوست PDF با لینکهایی آغاز میشود که از تغییر مسیرهای باز از سرویسهای بازاریابی دیجیتال دو کلیک گوگل (DDM) برای دورزدن بررسیهای امنیتی ایمیل استفاده میکنند. هنگامیکه قربانی روی لینک کلیک میکند، به وبسرور آسیبپذیری هدایت میشود که فایل میانبر اینترنتی را میزبانی میکند. این فایل میانبر (.url) به فایل میانبر دوم لینک میکند که روی سرور WebDAV تحت کنترل مهاجم قرار دارد.
استفاده از میانبر ویندوز برای بازکردن میانبر دوم روی سرور از راه دور، از نقص CVE-2024-21412 سوءاستفاده میکند و باعث میشود فایل MSI مخرب بهطور خودکار روی دستگاه اجرا شود. فایلهای MSI مذکور خود را بهعنوان نرمافزارهای معتبر انویدیا و نرمافزار آیتونز اپل یا Notion پنهان میکنند.
با اجرای نصبکننده MSI، نقص دیگری در بارگذاری جانبی DLL شامل فایل libcef.dll و لودری به نام sqlite3.dll، بار مخرب DarkGate را در سیستم رمزگشایی و اجرا میکند. این بدافزار پس از راهاندازی، میتواند دادهها را بدزدد، بارهای مخرب بیشتری دریافت و آنها را در فرایندهای در حال اجرا تزریق کند، ثبت کلید را انجام دهد و به مهاجمان دسترسی از راه دور و لحظهبهلحظه بدهد.
زنجیره آلودگی پیچیده و چندمرحلهای که عاملان DarkGate از اواسط ژانویه ۲۰۲۴ بهکار گرفتهاند، در نمودار زیر خلاصه شده است.
شرکت ترند میکرو میگوید این حمله از نسخه ۶.۱.۷ بدافزار DarkGate استفاده میکند که درمقایسهبا نسخه قدیمیتر ۵، پیکربندی رمزگذاریشده با XOR و گزینههای پیکربندی جدید و بهروزرسانی در مقادیر فرمان و کنترل (C2) دارد.
پارامترهای پیکربندی موجود در DarkGate 6 به عاملان آن اجازه میدهد تا تاکتیکهای عملیاتی و تکنیکهای فرار مختلفی را تعیین کنند؛ مانند فعالکردن تداوم راهاندازی یا تعیین حداقل فضای ذخیرهسازی دیسک و اندازه رم برای فرار از محیطهای تجزیهوتحلیل.
اولین قدم برای کاهش خطر ناشی از این حملات، اعمال بهروزرسانی پچ سهشنبهی دوم فوریه ۲۰۲۴ مایکروسافت است که CVE-2024-21412 را برطرف میکند. ترند میکرو فهرست کامل شاخصهای آلودگی (IoC) برای این کمپین DarkGate را در این صفحه منتشر کرده است.
