Новости DarkGate: как мошенники превратили PDF в 0day-ключ от ваших данных

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Уязвимость CVE-2024-21412 сослужила хорошую службу хакерам. Может, вы тоже успели стать её жертвой?


bave7uz1gzb6ub4kte1a5rn2ixdh4upu.jpg


В середине января исследователями безопасности была замечена новая масштабная кампания по распространению вредоносного программного обеспечения DarkGate, эксплуатирующая Для просмотра ссылки Войди или Зарегистрируйся уязвимость в системе безопасности Microsoft Windows, причём ещё до её исправления, то есть в формате Zero-day .

Для просмотра ссылки Войди или Зарегистрируйся компании Trend Micro , атаки начинались с применения PDF -файлов, содержащих открытые перенаправления Google DoubleClick, которые вели жертв на скомпрометированные сайты. На этих сайтах использовалась уязвимость Для просмотра ссылки Войди или Зарегистрируйся позволяющая обходить защиту Windows SmartScreen и устанавливать вредоносные инсталляторы, имитирующие популярные приложения по типу iTunes, Notion и NVIDIA, распространяемые в формате «.msi».

Уязвимость CVE-2024-21412, имеющая оценку в 8.1 балла по шкале CVSS, позволяет неаутентифицированным атакующим обходить защиту SmartScreen, путём использования специально созданного вредоносного файла.

Как было отмечено выше, Microsoft исправил эту уязвимость в рамках февральского пакета обновлений Patch Tuesday, однако до этого времени она была использована не только для распространения DarkGate, но и Для просмотра ссылки Войди или Зарегистрируйся используемого группировкой Water Hydra. Целью этих атак стали финансовые учреждения.

Что же касается DarkGate, в этой операции хакеры использовали CVE-2024-21412 в сочетании с перенаправлениями из Google Ads для распространения вредоносного ПО. Жертвы переходят по ссылке из вложенного PDF-файла, полученного через фишинговое письмо, что приводит к загрузке злонамеренного файла, эксплуатирующего вышеуказанную уязвимость.

Помимо CVE-2024-21412 специалисты также зафиксировали использование для доставки DarkGate другой уязвимости Windows SmartScreen — Для просмотра ссылки Войди или Зарегистрируйся с оценкой 8.8 по шкале CVSS, которую Для просмотра ссылки Войди или Зарегистрируйся хакеры из TA544 ещё в ноябре прошлого года.

Исследователи безопасности подчёркивают важность бдительности и необходимость избегать установки программного обеспечения из ненадёжных источников. Это касается как фальшивых установщиков, так и злоупотребления технологиями Google Ads, позволяющих злоумышленникам масштабировать свои атаки.

Кроме того, специалистами отмечается рост числа новых семейств вредоносных программ, способных похищать конфиденциальную информацию, а также рост использования популярных платформ для распространения вредоносного ПО, зачастую с элементами социальной инженерии.

Выводы исследователей подчёркивают сложность обеспечения безопасности современного киберпространства и необходимость комплексного подхода к цифровой защите как для организаций, так и для отдельных пользователей.
 
Источник новости
www.securitylab.ru

Похожие темы