Una nueva oleada de ataques del malware DarkGate aprovecha una vulnerabilidad ya parcheada de SmartScreen en Windows Defender para eludir los controles de seguridad e instalar automáticamente falsos instaladores.
SmartScreen es una función de seguridad de Windows que muestra una advertencia cuando los usuarios intentan ejecutar archivos no reconocidos o sospechosos descargados de Internet.
El fallo identificado como CVE-2024-21412 es un defecto de Windows Defender SmartScreen que permite que archivos descargados especialmente diseñados eludan estas advertencias de seguridad.
Los atacantes pueden aprovechar el fallo creando un acceso directo a Internet de Windows (archivo .url) que apunte a otro archivo .url alojado en un recurso compartido SMB remoto, lo que haría que el archivo se ejecutara automáticamente en la ubicación final.
Microsoft parcheó el fallo a mediados de febrero, y Trend Micro reveló que el grupo de hackers Water Hydra, con motivaciones económicas, lo había explotado previamente como día cero para introducir su malware DarkMe en los sistemas de los comerciantes.
Hoy, los analistas de Trend Micro han informado de que los operadores de DarkGate están explotando el mismo fallo para mejorar sus posibilidades de éxito (infección) en los sistemas objetivo.
Se trata de un avance importante para este malware que, junto con Pikabot, llenó el vacío creado por la interrupción de QBot el verano pasado y es utilizado por muchos ciberdelincuentes para distribuir malware.
Detalles del ataque DarkGate
El ataque comienza con un correo electrónico malicioso que contiene un archivo PDF adjunto y enlaces que utilizan redireccionamientos abiertos de los servicios DoubleClick Digital Marketing (DDM) de Google para eludir los controles de seguridad del correo electrónico.
Cuando una víctima hace clic en el enlace, es redirigida a un servidor web comprometido que aloja un archivo de acceso directo a Internet. Este archivo de acceso directo (.url) enlaza con un segundo archivo de acceso directo alojado en un servidor WebDAV controlado por el atacante.
El uso de un acceso directo de Windows para abrir un segundo acceso directo en un servidor remoto explota eficazmente el fallo CVE-2024-21412, lo que provoca la ejecución automática de un archivo MSI malicioso en el dispositivo.
Estos archivos MSI simulaban ser software legítimo de NVIDIA, la aplicación iTunes de Apple o Notion.
Cuando se ejecuta el instalador MSI, otro fallo de sideloading DLL que implica el archivo «libcef.dll» y un cargador llamado «sqlite3.dll» desencripta y ejecuta la carga útil del malware DarkGate en el sistema.
Una vez inicializado, el malware puede robar datos, recuperar cargas útiles adicionales e inyectarlas en procesos en ejecución, registrar claves y dar a los atacantes acceso remoto en tiempo real.
La compleja cadena de infección en varias fases utilizada por los operadores de DarkGate desde mediados de enero de 2024 se resume en el siguiente diagrama:
Trend Micro informa de que esta campaña utiliza la versión 6.1.7 de DarkGate, que incluye configuración cifrada XOR, nuevas opciones de configuración y actualizaciones de los valores de mando y control (C2) en comparación con la versión 5 anterior.
Los parámetros de configuración disponibles en DarkGate 6 permiten a sus operadores determinar diversas tácticas operativas y técnicas de evasión, como habilitar la persistencia de arranque o especificar el tamaño mínimo de almacenamiento en disco y RAM para evadir los entornos de análisis.
El primer paso para reducir los riesgos asociados a estos ataques es aplicar la actualización del martes de parches de Microsoft para febrero de 2024, que parchea CVE-2024-21412.
Trend Micro ha publicado la lista completa de indicadores de compromiso (IoC) de esta campaña de DarkGate en esta página web.