В середине января исследователями безопасности была замечена новая масштабная кампания по распространению вредоносного программного обеспечения DarkGate, эксплуатирующая недавно исправленную уязвимость в системе безопасности Microsoft Windows, причём ещё до её исправления, то есть в формате Zero-day.
По данным компании Trend Micro, атаки начинались с применения PDF-файлов, содержащих открытые перенаправления Google DoubleClick, которые вели жертв на скомпрометированные сайты. На этих сайтах использовалась уязвимость CVE-2024-21412, позволяющая обходить защиту Windows SmartScreen и устанавливать вредоносные инсталляторы, имитирующие популярные приложения по типу iTunes, Notion и NVIDIA, распространяемые в формате «.msi». Об этом пишет Securitylab.
Уязвимость CVE-2024-21412, имеющая оценку в 8.1 балла по шкале CVSS, позволяет неаутентифицированным атакующим обходить защиту SmartScreen, путём использования специально созданного вредоносного файла.
Как было отмечено выше, Microsoft исправил эту уязвимость в рамках февральского пакета обновлений Patch Tuesday, однако до этого времени она была использована не только для распространения DarkGate, но и для доставки вредоноса DarkMe, используемого группировкой Water Hydra. Целью этих атак стали финансовые учреждения.
Что же касается DarkGate, в этой операции хакеры использовали CVE-2024-21412 в сочетании с перенаправлениями из Google Ads для распространения вредоносного ПО. Жертвы переходят по ссылке из вложенного PDF-файла, полученного через фишинговое письмо, что приводит к загрузке злонамеренного файла, эксплуатирующего вышеуказанную уязвимость.