跳动城乡网微软最近修补了WindowsSmartScreen中的一个漏洞,但此前黑客已利用该漏洞作为零日漏洞传播DarkGate恶意软件。
网络安全研究人员趋势科技(TrendMicro)的一份报告详细介绍了一项新的活动,其中包括带有恶意PDF文件的网络钓鱼电子邮件、通过GoogleDoubleClick数字营销(DDM)进行的开放重定向以及冒充合法软件的Microsoft安装程序(.MSI)。
研究人员解释称,此次攻击是名为WaterHydra的威胁行为者发起的一项更广泛活动的一部分。在此次活动中,攻击者会向目标发送令人信服的网络钓鱼电子邮件,其中会携带看似无害的.PDF文件。
下载受感染的程序
该文件包含一个链接,该链接会从Google的doubleclick[.]net域部署开放重定向,并指向受感染的Web服务器。开放重定向是一种漏洞,其中重定向的目的地由客户端提供,而进行重定向的合法网站并未正确过滤或验证请求。
受害者被重定向到的该服务器托管一个恶意的.URL快捷方式文件,该文件利用了被标记为CVE-2024-21412的漏洞。
这是MicrosoftWindowsSmartScreen的一个漏洞,该组件是Microsoft的几款产品中包含的基于云的反网络钓鱼和反恶意软件组件。通过利用该漏洞,攻击者能够让受害者运行恶意的.MSI文件(即程序安装程序)。
受害者被误导,认为他们正在安装合法软件,例如AppleiTunes、Notion、NVIDIA等。然而,该软件带有侧载DLL文件,会使用DarkGate6.1.7版感染用户。根据Malpedia的描述,DarkGate是一种商品加载器,能够下载和执行第二阶段恶意软件、隐藏虚拟网络计算(HVNC)模块、键盘记录、从受感染设备窃取数据,甚至提升权限。
