Mã độc DarkGate lây lan qua lỗ hổng từ tính năng bảo mật của Windows

www.tuoitre.vn -   18/03/2024 12:00:00 99

Một làn sóng tấn công mới của hoạt động phần mềm độc hại DarkGate khai thác lỗ hổng trong Windows Defender SmartScreen hiện đã được nâng cấp, với khả năng vượt qua hàng rào kiểm tra bảo mật và tự động cài đặt trình cài đặt phần mềm giả mạo trên hệ thống mục tiêu.

Mã độc DarkGate lây lan qua lỗ hổng từ 1 tính năng bảo mật của Windows

SmartScreen là một tính năng bảo mật của Windows, có chức năng hiển thị cảnh báo khi người dùng cố chạy các tệp không được nhận dạng hoặc đáng ngờ tải xuống từ internet. Lỗ hổng được theo dõi có mã định danh CVE-2024-21412, vốn là một vấn đề tồn tại trong SmartScreen của Windows Defender, cho phép các tệp tải xuống được thiết kế đặc biệt có thể bỏ qua các cảnh báo bảo mật từ công cụ này.

Những kẻ tấn công có thể khai thác lỗ hổng bằng cách tạo một shortchut Windows Internet (tệp .url) trỏ đến một tệp .url khác được lưu trữ trên SMB share từ xa. Thao tác này sẽ khiến tệp ở vị trí cuối cùng được thực thi tự động.

CVE-2024-21412 đã được Microsoft vá vào giữa tháng 2, nhưng có vẻ bản cập nhật này chưa thực sự được áp dụng triệt để. Được biết một nhóm hacker nhắm mục tiêu tài chính có nickname Water Hydra đã khai thác thành công lỗ hổng này như một zero-day để phát tán phần mềm độc hại DarkMe của họ vào hệ thống của các nhà giao dịch. Tiếp theo đó, những kẻ đứng sau mã độc DarkGate đang triển khai một làn sóng tấn công mới, khai thác lỗ hổng tương tự để cải thiện cơ hội lây nhiễm thành công trên các hệ thống bị nhắm mục tiêu.

Chi tiết cuộc tấn công DarkGate

Cuộc tấn công bắt đầu bằng một email độc hại bao gồm tệp đính kèm PDF có chứa liên kết sử dụng các chuyển hướng mở từ dịch vụ DoubleClick Digital Marketing (DDM) của Google để vượt qua kiểm tra bảo mật email.

Khi nạn nhân nhấp vào liên kết, họ sẽ được chuyển hướng đến một máy chủ web lưu trữ một tệp shortcut internet. Tệp shortcut (.url) này lại liên kết đến một tệp shortcut thứ hai được lưu trữ trên máy chủ WebDAV do kẻ tấn công kiểm soát.

Mã độc DarkGate lây lan qua lỗ hổng từ 1 tính năng bảo mật của Windows

Việc sử dụng một Windows Shortcut để mở Shortcut thứ hai trên máy chủ từ xa sẽ khai thác hiệu quả lỗ hổng CVE-2024-21412, khiến tệp MSI độc hại tự động thực thi trên thiết bị.

Các tệp MSI này được giả mạo là phần mềm hợp pháp của NVIDIA, ứng dụng Apple iTunes hoặc Notion.

Khi thực thi trình cài đặt MSI, một lỗ hổng tải DLL khác liên quan đến tệp "libcef.dll" và trình tải có tên "sqlite3.dll" sẽ giải mã, và thực thi tải trọng phần mềm độc hại DarkGate trên hệ thống.

Sau khi được khởi tạo, phần mềm độc hại có thể đánh cắp dữ liệu, tìm nạp các tải trọng bổ sung và đưa chúng vào các tiến trình đang chạy, thực hiện ghi nhật ký key và cấp cho kẻ tấn công quyền truy cập từ xa theo thời gian thực.

Chuỗi lây nhiễm phức tạp và nhiều bước được những kẻ khai thác DarkGate sử dụng kể từ giữa tháng 1 năm 2024 có tóm gọn trong sơ đồ bên dưới:

Mã độc DarkGate lây lan qua lỗ hổng từ 1 tính năng bảo mật của Windows

Chiến dịch này sử dụng DarkGate phiên bản 6.1.7. So với phiên bản 5 cũ hơn, phiên bản 6 có cấu hình được mã hóa XOR, tùy chọn cấu hình mới, cũng như cập nhật về giá trị lệnh và kiểm soát (C2).

Các tham số cấu hình có sẵn trong DarkGate 6 cho phép người vận hành xác định các chiến thuật hoạt động và kỹ thuật lẩn tránh khác nhau, chẳng hạn như cho phép khởi động liên tục hoặc chỉ định dung lượng lưu trữ đĩa và kích thước RAM tối thiểu để trốn tránh môi trường phân tích.

Mã độc DarkGate lây lan qua lỗ hổng từ 1 tính năng bảo mật của Windows

Hiện tại, phương án duy nhất để giảm thiểu rủi ro từ các cuộc tấn công này là áp dụng bản cập nhật Patch Tuesday tháng 2 năm 2024 của Microsoft để sửa lỗi CVE-2024-21412.

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 45
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 45
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 44
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 44
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 32
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 24
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ