استفاده از نقص SmartScreen در ویندوز برای انتشار بدافزار DarkGate

براساس تازه‌ترین گزارش‌ها، هکرها از نقصی امنیتی در Windows SmartScreen برای انتشار بدافزار DarkGate استفاده می‌کنند.

به‌گزارش تک‌ناک، موج جدیدی از حملات ازطریق بدافزار DarkGate از آسیب‌پذیری رفع‌شده در Windows Defender SmartScreen برای دور‌زدن بررسی‌های امنیتی و نصب خودکار نرم‌افزارهای جعلی استفاده می‌کند. SmartScreen یکی از ویژگی‌های امنیتی ویندوز است که هنگام تلاش کاربران برای اجرای فایل‌های ناشناخته یا مشکوک دانلودشده از اینترنت هشدار می‌دهد.

بلیپینگ کامپیوتر می‌نویسد که آسیب‌پذیری ردیابی‌شده با شناسه CVE-2024-21412 نقصی در Windows Defender SmartScreen است که به فایل‌های دانلود‌شده با ساختار خاص اجازه می‌دهد تا از این هشدارهای امنیتی عبور کنند. مهاجمان می‌توانند با ایجاد میان‌بر اینترنتی ویندوز (فایل .url) که به فایل .url دیگر در اشتراک راه دور SMB اشاره می‌کند، از این نقص امنیتی سوءاستفاده کنند. این کار باعث می‌شود تا فایلی که در موقعیت نهایی قرار دارد، به‌طور خودکار اجرا شود.

مایکروسافت این نقص را در اواسط فوریه برطرف کرد؛ در‌حالی‌که ترند میکرو فاش کرد گروه هکری واتر هیدرا پیش‌از‌این از نقص یادشده به‌عنوان حمله «روز صفر» برای انتقال بدافزار DarkMe به سیستم‌های معامله‌گران استفاده کرده است. تحلیلگران ترند میکرو امروز گزارش دادند که عاملان DarkGate از همان نقص برای افزایش شانس موفقیت آلودگی در سیستم‌های هدف استفاده می‌کنند.

این پیشرفتی مهم برای بدافزار یادشده است که به‌همراه Pikabot، جای خالی ایجاد‌شده با اختلال QBot در تابستان گذشته را پر کرده است و مجرمان سایبری بسیاری از آن برای توزیع بدافزار استفاده می‌کنند.

جزئیات حمله DarkGate

حمله با ایمیل مخرب حاوی پیوست PDF با لینک‌هایی آغاز می‌شود که از تغییر مسیرهای باز از سرویس‌های بازاریابی دیجیتال دو کلیک گوگل (DDM) برای دور‌زدن بررسی‌های امنیتی ایمیل استفاده می‌کنند. هنگامی‌که قربانی روی لینک کلیک می‌کند، به وب‌سرور آسیب‌پذیری هدایت می‌شود که فایل میان‌بر اینترنتی را میزبانی می‌کند. این فایل میان‌بر (.url) به فایل میان‌بر دوم لینک می‌کند که روی سرور WebDAV تحت کنترل مهاجم قرار دارد.

استفاده از میان‌بر ویندوز برای باز‌کردن میان‌بر دوم روی سرور از راه دور، از نقص CVE-2024-21412 سوء‌استفاده می‌کند و باعث می‌شود فایل MSI مخرب به‌طور خودکار روی دستگاه اجرا شود. فایل‌های MSI مذکور خود را به‌عنوان نرم‌افزارهای معتبر انویدیا و نرم‌افزار آیتونز اپل یا Notion پنهان می‌کنند.

با اجرای نصب‌کننده MSI، نقص دیگری در بارگذاری جانبی DLL شامل فایل libcef.dll و لودری به نام sqlite3.dll، بار مخرب DarkGate را در سیستم رمزگشایی و اجرا می‌کند. این بدافزار پس از راه‌اندازی، می‌تواند داده‌ها را بدزدد، بارهای مخرب بیشتری دریافت و آن‌ها را در فرایندهای در حال اجرا تزریق کند، ثبت کلید را انجام دهد و به مهاجمان دسترسی از راه دور و لحظه‌به‌لحظه بدهد.

زنجیره آلودگی پیچیده و چند‌مرحله‌ای که عاملان DarkGate از اواسط ژانویه ۲۰۲۴ به‌کار گرفته‌اند، در نمودار زیر خلاصه شده است.

شرکت ترند میکرو می‌گوید این حمله از نسخه ۶.۱.۷ بدافزار DarkGate استفاده می‌کند که در‌مقایسه‌با نسخه قدیمی‌تر ۵، پیکربندی رمزگذاری‌شده با XOR و گزینه‌های پیکربندی جدید و به‌روزرسانی در مقادیر فرمان و کنترل (C2) دارد.

پارامترهای پیکربندی موجود در DarkGate 6 به عاملان آن اجازه می‌دهد تا تاکتیک‌های عملیاتی و تکنیک‌های فرار مختلفی را تعیین کنند؛ مانند فعال‌کردن تداوم راه‌اندازی یا تعیین حداقل فضای ذخیره‌سازی دیسک و اندازه رم برای فرار از محیط‌های تجزیه‌و‌تحلیل.

اولین قدم برای کاهش خطر ناشی از این حملات، اعمال به‌روزرسانی پچ سه‌شنبه‌ی دوم فوریه ۲۰۲۴ مایکروسافت است که CVE-2024-21412 را برطرف می‌کند. ترند میکرو فهرست کامل شاخص‌های آلودگی (IoC) برای این کمپین DarkGate را در این صفحه منتشر کرده است.