microsoft Recientemente parcheó una vulnerabilidad en Windows SmartScreen, pero no antes de que los piratas informáticos abusaran de ella como un día cero para eliminar DarkGate. malware.
Un informe de los investigadores de ciberseguridad Trend Micro detalló una nueva campaña que incluía correos electrónicos de phishing con archivos PDF maliciosos, redireccionamientos abiertos a través de Google DoubleClick Digital Marketing (DDM) e instaladores de Microsoft (.MSI) haciéndose pasar por software legítimo.
Como explicaron los investigadores, el ataque es parte de una campaña más amplia de un actor de amenazas conocido como Water Hydra. En la campaña, los atacantes enviaban correos electrónicos de phishing convincentes a sus objetivos, llevando un archivo .PDF aparentemente inofensivo.
Descarga de programas comprometidos
Este archivo contiene un enlace que implementa una redirección abierta desde el doble clic de Google.[.]net y conduce a un servidor web comprometido. Una redirección abierta es un tipo de vulnerabilidad en la que el destino de la redirección lo proporciona el cliente, mientras que el sitio web legítimo, a través del cual se realiza la redirección, no filtra ni valida adecuadamente la solicitud.
Este servidor al que se redirige a las víctimas aloja un archivo de acceso directo .URL malicioso que explota una vulnerabilidad rastreada como CVE-2024-21412.
Se trata de una falla en Microsoft Windows SmartScreen, un componente antiphishing y antimalware basado en la nube incluido en varios productos de Microsoft. Al explotar la falla, los atacantes pueden lograr que las víctimas ejecuten un archivo .MSI malicioso: un instalador de programas.
A las víctimas se les hace creer que están instalando software legítimo, como Manzana iTunes, noción, Nvidia, y más. Sin embargo, este software viene con archivos DLL de carga lateral que infectan a los usuarios con DarkGate versión 6.1.7. Como lo describe MalpediaDarkGate es un cargador de productos capaz de descargar y ejecutar malware de etapa dos, un módulo de Computación de red virtual oculta (HVNC), registro de teclas, robo de datos de los dispositivos infectados e incluso escalar privilegios.
El malware se detectó por primera vez en 2018 y algunos investigadores creen que se originó en Rusia.