DarkGate operatörleri, karmaşık ve sürekli gelişen DarkGate kötü amaçlı yazılımını yaymak için sıfır gün saldırısı olarak CVE-2024-21412 olarak tanımlanan yamalı bir Windows Defender SmartScreen güvenlik açığından başarıyla yararlandı.
CVE-2024-21412 olarak takip edilen ve CVSS taban puanı 8,1 olan güvenlik açığı, internet kısayolları etrafında dönen bir Microsoft Defender SmartScreen güvenlik açığıdır.
Yetkisiz bir saldırganın, hedefi kandırıp özel hazırlanmış bir dosyaya tıklamasını sağlayarak SmartScreen güvenlik önlemlerini atlamasına olanak tanır.
Ocak 2024'ün ortalarında, Sıfır Gün Girişimi (ZDI), bu güvenlik açığından yararlanmak için sahte yazılım yükleyicilerini kullanan bir DarkGate girişimini keşfetti.
Kimlik avı kampanyası, Google Reklam teknolojisinden gelen açık yönlendirme URL'lerini kullanarak Apple iTunes, Notion, NVIDIA ve diğerleri gibi kendilerini meşru uygulamalar gibi gösteren sahte Microsoft yazılım yükleyicilerini (MSI) yaydı.
Sahte yükleyicilerde bulunan dışarıdan yüklenmiş bir DLL dosyasının şifresi çözüldü ve kullanıcılara DarkGate kötü amaçlı yazılım yükü bulaştı.
Bu kampanya aynı zamanda Trend Micro'nun finansal kurumları hedef alan daha büyük Water Hydra APT sıfır gün analizinin de bir parçasıydı.
Trend Micro analistleri bugün aynı Microsoft Windows SmartScreen güvenlik açığının DarkGate operatörleri tarafından daha geniş bir istismar için kullanıldığını ortaya çıkardı.
Özellikle Microsoft, 13 Şubat'ta CVE-2024-21412'yi ele alan bir güvenlik düzeltmesini resmi olarak yayınladı.
DarkGate Kampanyası
DarkGate, siber suç dünyasındaki en yaygın, gelişmiş ve aktif kötü amaçlı yazılım türlerinden biridir.
Hizmet olarak kötü amaçlı yazılım (MaaS) hizmet modelini kullanır. Finansal motivasyona sahip tehdit aktörleri, bu kötü amaçlı yazılımla sıklıkla Kuzey Amerika, Avrupa, Asya ve Afrika'daki işletmeleri hedef alıyor.
Trend Micro araştırmacıları Cyber Security News ile şunları paylaştı: “Sahte yazılım yükleyicilerinin açık yönlendirmelerle birlikte kullanılması güçlü bir kombinasyondur ve birçok enfeksiyona yol açabilir.”
Tehdit aktörleri, sponsorlu makalelere ve reklam alanına yatırım yapmanın yanı sıra Google DDM teknolojileri kapsamında da açık yönlendirmeyi kullanıyor.
Açık yönlendirmelerin kötüye kullanılması kod yürütülmesine neden olabilir; bu özellikle CVE-2023-36025 ve CVE-2024-21412 gibi güvenlik geçişleriyle birleştirildiğinde geçerlidir.
Açık yönlendirmeler, çoğu kullanıcının büyük web hizmetlerini ve teknolojiyi kullanırken hafife aldığı güveni kötüye kullanır.
DarkGate operatörleri, kurbanı CVE-2024-21412'den yararlanmak amacıyla ilk .URL internet kısayol dosyasını barındıran, güvenliği ihlal edilmiş bir web sunucusuna yönlendirmek için Google DoubleClick açık yönlendirmesini kullanıyor.
“İnternet kısayol dosyası, enfeksiyon sürecinin bir sonraki aşamasına işaret etmek için “URL=” parametresini kullanıyor; bu sefer saldırganların kontrol ettiği bir WebDAV sunucusunda barındırılıyor.” dedi araştırmacılar.
Bulaşma süreci, zip arşivi (ZIP) içeren yoldaki bir .MSI dosyasına işaret eden aşağıdaki adıma ilerler.
Güvenilmeyen bir kaynaktan gelen bir Microsoft yazılım yükleyicisini çalıştıran bu internet kısayolu yeniden yönlendirme dizisi, MotW'yi düzgün bir şekilde uygulamalıdır; bu da, Microsoft Defender SmartScreen aracılığıyla, bir komut dosyasının güvenilmeyen bir kaynaktan yürütülmeye çalışıldığı konusunda kullanıcıları durduracak ve uyaracaktır. ağ.
“CVE-2024-21412'den yararlanıldığında, MotW'un düzgün şekilde uygulanmaması nedeniyle kurbanın Microsoft Defender SmartScreen'i uyarılmıyor.
DarkGate Enfeksiyonunun Sonraki Aşaması
Araştırmacılar, “.MSI dosyalarını kullanan sahte yazılım yükleyicileri” dedi.
Dikkatli olmak ve kullanıcıları, resmi web sitesi dışındaki kaynaklardan indirdikleri yazılım yükleyicilerine güvenmemeleri konusunda uyarmak zorunludur.
Hem bireylerin hem de işletmelerin sistemlerini bu tür saldırılara karşı savunmada proaktif olmaları gerekiyor.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.