Mã độc DarkGate lây lan qua lỗ hổng từ tính năng bảo mật của Windows

www.tuoitre.vn -   18/03/2024 12:00:00 43

Một làn sóng tấn công mới của hoạt động phần mềm độc hại DarkGate khai thác lỗ hổng trong Windows Defender SmartScreen hiện đã được nâng cấp, với khả năng vượt qua hàng rào kiểm tra bảo mật và tự động cài đặt trình cài đặt phần mềm giả mạo trên hệ thống mục tiêu.

Mã độc DarkGate lây lan qua lỗ hổng từ 1 tính năng bảo mật của Windows

SmartScreen là một tính năng bảo mật của Windows, có chức năng hiển thị cảnh báo khi người dùng cố chạy các tệp không được nhận dạng hoặc đáng ngờ tải xuống từ internet. Lỗ hổng được theo dõi có mã định danh CVE-2024-21412, vốn là một vấn đề tồn tại trong SmartScreen của Windows Defender, cho phép các tệp tải xuống được thiết kế đặc biệt có thể bỏ qua các cảnh báo bảo mật từ công cụ này.

Những kẻ tấn công có thể khai thác lỗ hổng bằng cách tạo một shortchut Windows Internet (tệp .url) trỏ đến một tệp .url khác được lưu trữ trên SMB share từ xa. Thao tác này sẽ khiến tệp ở vị trí cuối cùng được thực thi tự động.

CVE-2024-21412 đã được Microsoft vá vào giữa tháng 2, nhưng có vẻ bản cập nhật này chưa thực sự được áp dụng triệt để. Được biết một nhóm hacker nhắm mục tiêu tài chính có nickname Water Hydra đã khai thác thành công lỗ hổng này như một zero-day để phát tán phần mềm độc hại DarkMe của họ vào hệ thống của các nhà giao dịch. Tiếp theo đó, những kẻ đứng sau mã độc DarkGate đang triển khai một làn sóng tấn công mới, khai thác lỗ hổng tương tự để cải thiện cơ hội lây nhiễm thành công trên các hệ thống bị nhắm mục tiêu.

Chi tiết cuộc tấn công DarkGate

Cuộc tấn công bắt đầu bằng một email độc hại bao gồm tệp đính kèm PDF có chứa liên kết sử dụng các chuyển hướng mở từ dịch vụ DoubleClick Digital Marketing (DDM) của Google để vượt qua kiểm tra bảo mật email.

Khi nạn nhân nhấp vào liên kết, họ sẽ được chuyển hướng đến một máy chủ web lưu trữ một tệp shortcut internet. Tệp shortcut (.url) này lại liên kết đến một tệp shortcut thứ hai được lưu trữ trên máy chủ WebDAV do kẻ tấn công kiểm soát.

Mã độc DarkGate lây lan qua lỗ hổng từ 1 tính năng bảo mật của Windows

Việc sử dụng một Windows Shortcut để mở Shortcut thứ hai trên máy chủ từ xa sẽ khai thác hiệu quả lỗ hổng CVE-2024-21412, khiến tệp MSI độc hại tự động thực thi trên thiết bị.

Các tệp MSI này được giả mạo là phần mềm hợp pháp của NVIDIA, ứng dụng Apple iTunes hoặc Notion.

Khi thực thi trình cài đặt MSI, một lỗ hổng tải DLL khác liên quan đến tệp "libcef.dll" và trình tải có tên "sqlite3.dll" sẽ giải mã, và thực thi tải trọng phần mềm độc hại DarkGate trên hệ thống.

Sau khi được khởi tạo, phần mềm độc hại có thể đánh cắp dữ liệu, tìm nạp các tải trọng bổ sung và đưa chúng vào các tiến trình đang chạy, thực hiện ghi nhật ký key và cấp cho kẻ tấn công quyền truy cập từ xa theo thời gian thực.

Chuỗi lây nhiễm phức tạp và nhiều bước được những kẻ khai thác DarkGate sử dụng kể từ giữa tháng 1 năm 2024 có tóm gọn trong sơ đồ bên dưới:

Mã độc DarkGate lây lan qua lỗ hổng từ 1 tính năng bảo mật của Windows

Chiến dịch này sử dụng DarkGate phiên bản 6.1.7. So với phiên bản 5 cũ hơn, phiên bản 6 có cấu hình được mã hóa XOR, tùy chọn cấu hình mới, cũng như cập nhật về giá trị lệnh và kiểm soát (C2).

Các tham số cấu hình có sẵn trong DarkGate 6 cho phép người vận hành xác định các chiến thuật hoạt động và kỹ thuật lẩn tránh khác nhau, chẳng hạn như cho phép khởi động liên tục hoặc chỉ định dung lượng lưu trữ đĩa và kích thước RAM tối thiểu để trốn tránh môi trường phân tích.

Mã độc DarkGate lây lan qua lỗ hổng từ 1 tính năng bảo mật của Windows

Hiện tại, phương án duy nhất để giảm thiểu rủi ro từ các cuộc tấn công này là áp dụng bản cập nhật Patch Tuesday tháng 2 năm 2024 của Microsoft để sửa lỗi CVE-2024-21412.

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 107
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 95
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 96
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 81
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 88
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 64
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ