wmtech logo

El malware DarkGate explotó recientemente una vulnerabilidad de Microsoft parcheada en un ataque de día cero

Luis Quiles
Luis Quiles
ataque cibernético
Ataque cibernético, Malware

Una campaña de malware DarkGate observada a mediados de enero de 2024 aprovechó una falla de seguridad recientemente parcheada en Microsoft Windows como un día cero utilizando instaladores de software falsos.

«Durante esta campaña, los usuarios fueron atraídos mediante archivos PDF que contenían redirecciones abiertas de Google DoubleClick Digital Marketing (DDM) que llevaban a víctimas desprevenidas a sitios comprometidos que alojaban la vulnerabilidad CVE-2024-21412 de bypass de SmartScreen de Microsoft Windows que conducía a instaladores maliciosos de Microsoft (.MSI)», dijo Trend Micro.

CVE-2024-21412 (puntuación CVSS: 8.1) se refiere a una vulnerabilidad de bypass de características de seguridad de archivos de acceso directo a internet que permite a un atacante no autenticado evadir las protecciones de SmartScreen al engañar a una víctima para que haga clic en un archivo especialmente diseñado.

Fue corregido por Microsoft como parte de sus actualizaciones del Martes de Parches para febrero de 2024, pero no antes de que fuera utilizado como arma por un actor de amenazas llamado Water Hydra (también conocido como DarkCasino) para entregar el malware DarkMe en ataques dirigidos a instituciones financieras.

Los últimos hallazgos de Trend Micro muestran que la vulnerabilidad ha sido explotada de manera más amplia de lo que se pensaba anteriormente, con la campaña DarkGate aprovechándola en conjunto con redirecciones abiertas de Google Ads para proliferar el malware.

La sofisticada cadena de ataque comienza con las víctimas haciendo clic en un enlace incrustado dentro de un archivo PDF adjunto enviado a través de un correo electrónico de phishing. El enlace despliega una redirección abierta desde el dominio doubleclick[.]net de Google a un servidor web comprometido que aloja un archivo de acceso directo a internet malicioso .URL que explota CVE-2024-21412.

Específicamente, las redirecciones abiertas están diseñadas para distribuir instaladores falsos de software de Microsoft (.MSI) que se hacen pasar por software legítimo, como Apple iTunes, Notion, NVIDIA, que vienen equipados con un archivo DLL cargado lateralmente que descifra e infecta a los usuarios con DarkGate (versión 6.1.7).

Vale la pena señalar que otra falla de bypass ahora corregida en Windows SmartScreen (CVE-2023-36025, puntuación CVSS: 8.8) ha sido empleada por actores de amenazas para entregar DarkGate, Phemedrone Stealer y Mispadu en los últimos meses.

El abuso de las tecnologías de Google Ads permite a los actores de amenazas aumentar el alcance y la escala de sus ataques a través de diferentes campañas publicitarias que están diseñadas para audiencias específicas.

«El uso de instaladores de software falsos, junto con redirecciones abiertas, es una combinación potente y puede llevar a muchas infecciones», dijeron los investigadores de seguridad Peter Girnus, Aliakbar Zahravi y Simon Zuckerbraun. «Es esencial mantenerse vigilante y enseñar a los usuarios a no confiar en ningún instalador de software que reciban fuera de los canales oficiales».

hack

El desarrollo surge mientras el Centro de Inteligencia de Seguridad de AhnLab (ASEC) y eSentire revelaron que instaladores falsificados de Adobe Reader, Notion y Synaptics están siendo distribuidos a través de archivos PDF falsos y sitios web aparentemente legítimos para desplegar robadores de información como LummaC2 y el backdoor XRed.

También sigue al descubrimiento de nuevas familias de malware robador como Planet Stealer, Rage Stealer (también conocido como xStealer) y Tweaks (también conocido como Tweaker), sumándose a la gran cantidad de amenazas cibernéticas capaces de recolectar información sensible de hosts comprometidos.

«Los atacantes están explotando plataformas populares, como YouTube y Discord, para distribuir Tweaks a los usuarios de Roblox, aprovechando la capacidad de las plataformas legítimas para evadir la detección por parte de las listas de bloqueo de filtros web que típicamente bloquean servidores maliciosos conocidos», dijo Zscaler ThreatLabz.

«Los atacantes comparten archivos maliciosos disfrazados como paquetes de optimización de Frames Per Second (FPS) con los usuarios y, a su vez, los usuarios infectan sus propios sistemas con el malware Tweaks».

El stealer basado en PowerShell está equipado para exfiltrar datos sensibles, incluida información de usuario, ubicación, perfiles de Wi-Fi, contraseñas, identificaciones de Roblox y detalles de moneda dentro del juego, a un servidor controlado por el atacante a través de un webhook de Discord.

También se han observado campañas de malvertising y de ingeniería social actuando como un vector de acceso inicial para difundir una amplia gama de stealer y troyanos de acceso remoto como Agent Tesla, CyberGate RAT, la botnet Fenix, Matanbuchus, NarniaRAT, Remcos RAT, Rhadamanthys, SapphireStealer y zgRAT.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.