Une nouvelle vague d’attaques de l’opération malveillante DarkGate exploite une vulnérabilité désormais corrigée de Windows Defender SmartScreen pour contourner les contrôles de sécurité et installer automatiquement de faux programmes d’installation de logiciels.

SmartScreen est une fonctionnalité de sécurité Windows qui affiche un avertissement lorsque les utilisateurs tentent d’exécuter des fichiers non reconnus ou suspects téléchargés sur Internet.

La faille identifiée comme CVE-2024-21412 est une faille Windows Defender SmartScreen qui permet aux fichiers téléchargés spécialement conçus de contourner ces avertissements de sécurité.

Les attaquants peuvent exploiter la faille en créant un raccourci Internet Windows (.fichier url) qui pointe vers un autre .fichier url hébergé sur un partage SMB distant, ce qui entraînerait l’exécution automatique du fichier à l’emplacement final.

Microsoft a corrigé la faille à la mi-février, Trend Micro révélant que le groupe de piratage Water Hydra, motivé financièrement, l’exploitait auparavant comme un jour zéro pour déposer son logiciel malveillant DarkMe sur les systèmes des traders.

Aujourd’hui, les analystes de Trend Micro ont rapporté que les opérateurs de DarkGate exploitent la même faille pour améliorer leurs chances de succès (infection) sur les systèmes ciblés.

Il s’agit d’un développement important pour le logiciel malveillant qui, avec Pikabot, a comblé le vide créé par la perturbation de QBot l’été dernier et est utilisé par plusieurs cybercriminels pour la distribution de logiciels malveillants.

Détails de l’attaque de DarkGate
L’attaque commence par un e-mail malveillant qui inclut une pièce jointe PDF avec des liens qui utilisent des redirections ouvertes des services Google DoubleClick Digital Marketing (DDM) pour contourner les contrôles de sécurité des e-mails.

Lorsqu’une victime clique sur le lien, elle est redirigée vers un serveur Web compromis qui héberge un fichier de raccourci Internet. Ce fichier de raccourci (.url) renvoie à un deuxième fichier de raccourci hébergé sur un serveur WebDAV contrôlé par un attaquant.

Exploitation de la vulnérabilité SmartScreen CVE-2024-21412

L’utilisation d’un raccourci Windows pour ouvrir un deuxième raccourci sur un serveur distant exploite efficacement la faille CVE-2024-21412, provoquant l’exécution automatique d’un fichier MSI malveillant sur l’appareil.

Deuxième raccourci URL qui installe automatiquement le fichier MSI

Ces fichiers MSI se faisaient passer pour des logiciels légitimes de NVIDIA, de l’application Apple iTunes ou de Notion.

Lors de l’exécution de l’installateur MSI, une autre faille de chargement latéral de DLL impliquant la « libcef.fichier dll « et un chargeur nommé » sqlite3.dll  » déchiffrera et exécutera la charge utile du logiciel malveillant DarkGate sur le système.

Une fois initialisé, le malware peut voler des données, récupérer des charges utiles supplémentaires et les injecter dans des processus en cours d’exécution, effectuer une journalisation des clés et donner aux attaquants un accès à distance en temps réel.

La chaîne d’infection complexe et en plusieurs étapes utilisée par les opérateurs de Dark Gate depuis la mi-janvier 2024 est résumée dans le diagramme ci-dessous:

Chaîne d’infection de DarkGate

Trend Micro indique que cette campagne utilise la version 6.1.7 de DarkGate, qui, par rapport à l’ancienne version 5, propose une configuration cryptée XOR, de nouvelles options de configuration et des mises à jour des valeurs de commande et de contrôle (C2).

Les paramètres de configuration disponibles dans DarkGate 6 permettent à ses opérateurs de déterminer diverses tactiques opérationnelles et techniques d’évasion, telles que l’activation de la persistance au démarrage ou la spécification d’un stockage minimum sur disque et d’une taille de RAM pour échapper aux environnements d’analyse.

Paramètres de configuration de DarkGate v6

La première étape pour atténuer le risque de ces attaques consisterait à appliquer la mise à jour Patch Tuesday de février 2024 de Microsoft, qui corrige CVE-2024-21412.

Trend Micro a publié la liste complète des indicateurs de compromission (IOC) pour cette campagne DarkGate sur cette page Web.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *