Công ty cổ phần An ninh mạng thông minh SCS
Tìm kiếm
Tin tức
Lỗ hổng Windows SmartScreen bị khai thác để phát tán mã độc DarkGate
11:40 - 16/03/2024

Một cuộc tấn công mới mã độc DarkGate đã lợi dụng lỗ hổng trong tính năng  bảo mật của Windows gọi là Windows Defender SmartScreen. Lỗ hổng này tuy đã được sửa nhưng DarkGate vẫn có thể vượt qua biện pháp bảo vệ và tự động cài đặt các chương trình giả mạo.

Lỗ hổng Windows Defender SmartScreen bị lợi dụng để phán tán mã độc.

Windows Defender SmartScreen là tính năng bảo mật trên Windows giúp ngăn chặn việc chạy các tệp không an toàn từ Internet. Tuy nhiên, một lỗ hổng đã được phát hiện (mã CVE-2024-21412) cho phép tải xuống các tệp được tạo đặc biệt để tránh các cảnh báo bảo mật của SmartScreen.

Kẻ tấn công có thể lợi dụng lỗ hổng này bằng cách tạo ra một tệp lối tắt Internet (.url) trỏ đến một tệp .url khác được lưu trữ trên chia sẻ SMB từ xa, điều này khiến tệp cuối cùng được thực thi mà không có cảnh báo nào.

Chi tiết vụ tấn công phát tán mã độc DarkGate

Vụ tấn công bắt đầu với một email độc hại có chứa tệp đính kèm PDF cùng đường link sử dụng các chuyển hướng mở từ các dịch vụ Google DoubleClick Digital Marketing(DDM) để vượt qua lớp kiểm tra bảo mật email. 

Khi nạn nhân nhấp vào đường link, họ sẽ bị chuyển hướng truy cập đến một web server đã bị xâm nhập trước đó và nó lưu trữ một tệp lối tắt Internet. Tệp lối tắt (.url) này sẽ liên kết đến tệp lối tắt thứ hai được lưu trữ trên máy chủ WebDAV do kẻ tấn công kiểm soát. 

Việc sử dụng Windows Shortcut để mở một Shortcut thứ hai trên máy chủ từ xa sẽ khai thác hiệu quả lỗ hổng CVE-2024-21412, khiến cho tệp MSI độc hại tự động khởi chạy trên các thiết bị.  

Khai thác lỗ hổng SmartScreen CVE-2024-21412

Các tệp MSI sẽ giả mạo làm các phần mềm hợp pháp của NVIDIA, ứng dụng Apple iTunes hoặc Notion. Khi trình cài đặt MSI đang được tiến hành, một lỗ hổng tải DLL khác liên quan đến tệp "libcef.dll" và trình tải có tên "sqlite3.dll" sẽ giải mã và tiến hành phân tán phần mềm độc hại DarkGate lên hệ thống. 

Sau khi được khởi tạo, phần mềm độc hại trên có thể đánh cắp dữ liệu, tìm nạp thêm các Payload và đưa chúng vào các tiến trình đang chạy, tiến hành theo dõi thao tác bàn phím và cấp quyền truy cập từ xa cho kẻ tấn công theo thời gian thực. 

Quy trình lây nhiễm phức tạp được sử dụng bởi những đối tượng vận hành DarkGate kể từ giữa tháng 1 năm 2024 được tóm tắt trong biểu đồ dưới đây:

Chuỗi lây nhiễm DarkGate

Trend Micro cho biết vụ tấn công này sử dụng phiên bản DarkGate 6.1.7, so với phiên bản cũ DarkGate 5, có tính năng cấu hình được mã hóa XOR, tùy chọn cấu hình mới và cập nhật trên các giá trị command và control (C2).

Ngoài ra, các cấu hình có sẵn của DarkGate 6 cho phép các người sử dụng hoạch định các chiến lược và kỹ thuật tránh né khác nhau, như kích hoạt quy trình Persistence hoặc xác định dung lượng lưu trữ đĩa tối thiểu và kích thước RAM để tránh các môi trường phân tích. 

Theo khuyến cáo, bước đầu tiên để giảm thiểu rủi ro từ các cuộc tấn công này là tải bản cập nhật_ Microsoft's February 2024 Patch Tuesday ngay để sửa lỗi CVE-2024-21412.

(Theo Bleepingcomputer) 

0 / 5 (0Bình chọn)

Các tin tức khác

Giỏ hàng của bạn
  • Chưa có sản phẩm nào trong giỏ hàng