DarkGate-Malware: Die neue Bedrohung durch ausgenutzte Windows Defender SmartScreen-Schwachstellen

Windows Defender

Eine detaillierte Untersuchung der komplexen Infektionskette, Ausnutzung von Schwachstellen und taktischen Entwicklungen in der Cyberkriminalität

2024BlogMärz
lxrcbsv 200Ts TL1MM unsplash

Bildquelle: Foto von Алекс Арцибашев auf Unsplash

Eine neue Welle von Angriffen: DarkGate-Malware nutzt behobene Schwachstelle in Windows Defender Smart Screen aus

Eine neue Angriffswelle, initiiert durch die DarkGate-Malware-Operation, nutzt eine behobene Schwachstelle in Windows Defender Smart Screen aus, um Sicherheitskontrollen zu umgehen und gefälschte Software-Installer automatisch zu installieren.

Smart Screen ist eine Sicherheitsfunktion von Windows, die eine Warnung anzeigt, wenn Benutzer versuchen, nicht erkannte oder verdächtige Dateien aus dem Internet auszuführen.

Die Schwachstelle, als CVE-2024-21412 verfolgt, betrifft einen Fehler in Windows Defender Smart Screen, der es speziell entwickelten heruntergeladenen Dateien ermöglicht, diese Sicherheitswarnungen zu umgehen.

Angreifer können die Schwachstelle ausnutzen, indem sie eine Windows-Internetverknüpfung (.url-Datei) erstellen, die auf eine andere .url-Datei verweist, die auf einem entfernten SMB-Share gehostet wird, was dazu führen würde, dass die Datei am endgültigen Speicherort automatisch ausgeführt wird.

Microsoft behob die Schwachstelle Mitte Februar, wobei Trend Micro bekannt gab, dass die finanziell motivierte Hackergruppe Water Hydra sie zuvor als Zero-Day ausgenutzt hatte, um ihre DarkMe-Malware auf den Systemen von Händlern abzulegen.

Heute berichteten Analysten von Trend Micro, dass die Betreiber von DarkGate dieselbe Schwachstelle ausnutzen, um ihre Erfolgschancen (Infektionen) auf gezielten Systemen zu verbessern.

Dies ist eine bedeutende Entwicklung für die Malware, die gemeinsam mit Pikabot die Lücke gefüllt hat, die durch die Unterbrechung von QBot im letzten Sommer entstanden ist, und von mehreren Cyberkriminellen für die Verteilung von Malware verwendet wird.

Details des DarkGate-Angriffs

Der Angriff beginnt mit einer bösartigen E-Mail, die einen PDF-Anhang mit Links enthält, die offene Weiterleitungen von Google DoubleClick Digital Marketing (DDM)-Diensten nutzen, um E-Mail-Sicherheitskontrollen zu umgehen.

Wenn ein Opfer auf den Link klickt, wird es zu einem kompromittierten Webserver weitergeleitet, der eine Internetverknüpfungsdatei hostet. Diese Verknüpfungsdatei (.url) verweist auf eine zweite Verknüpfungsdatei, die auf einem von den Angreifern kontrollierten WebDAV-Server gehostet wird.

trend cve

Die Ausnutzung der CVE-2024-21412 SmartScreen-Schwachstelle.

Quelle: Trend Micro

Die Nutzung einer Windows-Verknüpfung, um eine zweite Verknüpfung auf einem entfernten Server zu öffnen, nutzt effektiv die Schwachstelle CVE-2024-21412 aus und verursacht, dass eine bösartige MSI-Datei automatisch auf dem Gerät ausgeführt wird.

Diese MSI-Dateien tarnten sich als legitime Software von NVIDIA, der Apple iTunes-App oder Notion.

Nach Ausführung des MSI-Installationsprogramms wird ein weiterer DLL-Sideloading-Fehler unter Beteiligung der Datei „libcef.dll“ und eines Loaders namens „sqlite3.dll“ den DarkGate-Malware-Payload auf dem System entschlüsseln und ausführen.

Sobald er initialisiert ist, kann die Malware Daten stehlen, zusätzliche Payloads abrufen und sie in laufende Prozesse injizieren, Keylogging durchführen und den Angreifern einen Echtzeit-Fernzugriff ermöglichen.

Die komplexe und mehrstufige Infektionskette, die von den DarkGate-Betreibern seit Mitte Januar 2024 eingesetzt wird, ist in folgendem Diagramm zusammengefasst:

infection chain

DarkGate Infektionskette

Quelle: Trend Micro

Trend Micro sagt, dass diese Kampagne DarkGate-Version 6.1.7 einsetzt, die im Vergleich zur älteren Version 5 XOR-verschlüsselte Konfigurationen, neue Konfigurationsoptionen und Updates der Werte für Befehls- und Kontroll (C2)-Werte aufweist.

Die in DarkGate 6 verfügbaren Konfigurationsparameter ermöglichen es den Betreibern, verschiedene operative Taktiken und Ausweichtechniken festzulegen, wie z.B. das Aktivieren von Startpersistenz oder das Festlegen von Mindestspeicher- und RAM-Größen, um Analyseumgebungen zu umgehen.

Der erste Schritt zur Minderung des Risikos dieser Angriffe besteht darin, das Patch Tuesday-Update von Microsoft für Februar 2024 anzuwenden, das CVE-2024-21412 behebt.

Trend Micro hat die vollständige Liste der Indikatoren für Kompromittierung (IoCs) für diese DarkGate-Kampagne auf dieser Webseite veröffentlicht.

Quellen: https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412–darkgate-operators-exploit-microsoft-windows-sma.html

Downloads:

Teilen Sie den Beitrag: