DarkGate: bug Windows SmartScreen usato per attacco zero-day

Una campagna malware DarkGate osservata a metà gennaio 2024 ha sfruttato una falla di sicurezza recentemente corretta in Windows Defender SmartScreen utilizzando programmi di installazione di software fasulli. SmartScreen è una funzionalità di sicurezza di Windows che mostra un avviso quando gli utenti tentano di eseguire file non riconosciuti o sospetti scaricati da Internet.  Il bug, rilevato come CVE-2024-21412, è un difetto di Windows Defender SmartScreen che consente ai file scaricati appositamente predisposti di ignorare questi avvisi di sicurezza. Gli aggressori hanno sfruttato la falla creando un collegamento Internet di Windows (file .url) che punta a un altro file .url ospitato su una condivisione SMB remota, causando l'esecuzione automatica del file nella posizione finale. Microsoft ha risolto il problema a febbraio, quando Trend Micro ha rivelato che il gruppo di hacker Water Hydra (motivato finanziariamente) lo aveva sfruttato come zero-day per rilasciare il malware DarkMe sui sistemi dei trader.

DarkGate: come funziona l’attacco degli hacker

Gli analisti di Trend Micro hanno riferito che gli hacker di DarkGate stanno sfruttando la stessa falla di Windows Defender SmartScreen. Ciò consente loro di aumentare le possibilità di successo (infezione) sui sistemi presi di mira. L'attacco inizia con un'e-mail dannosa che include un allegato PDF con collegamenti che utilizzano reindirizzamenti aperti dai servizi Google DoubleClick Digital Marketing (DDM) per aggirare i controlli di sicurezza dell'e-mail. Quando una vittima clicca sul link viene reindirizzata a un server web compromesso che ospita un file di collegamento Internet. Questo file .url si collega a un secondo file di collegamento ospitato su un server WebDAV controllato dall'aggressore. L'utilizzo di un collegamento Windows per aprirne un secondo su un server remoto sfrutta in modo efficace il difetto CVE-2024-21412. Ciò provoca l'esecuzione automatica di un file MSI dannoso sul dispositivo. Questi file si mascheravano da software legittimo NVIDIA, dell'app Apple iTunes o di Notion.

Dopo l'esecuzione del programma di installazione MSI, un altro difetto di sideload della DLL che coinvolge il file "libcef.dll" e un payload denominato "sqlite3.dll" decodificherà ed eseguirà il payload del malware DarkGate sul sistema. Una volta inizializzato, il malware può rubare dati, recuperare payload aggiuntivi e inserirli nei processi in esecuzione. Inoltre, potrà eseguire la registrazione delle chiavi e fornire agli aggressori accesso remoto in tempo reale. Trend Micro afferma che questa campagna utilizza DarkGate 6.1.7, che, rispetto alla versione precedente, presenta una configurazione crittografata XOR, nuove opzioni di configurazione e aggiornamenti sui valori di comando e controllo (C2). Il primo passo per mitigare il rischio derivante da questi attacchi sarebbe applicare l'aggiornamento Patch Tuesday di febbraio 2024 di Microsoft, che risolve CVE-2024-21412.