DarkGate sfrutta una Vulnerabilità nel Windows SmartScreen: Campagna di Phishing in Aumento
I cibercriminali che gestiscono il malware DarkGate hanno sfruttato una vulnerabilità nel Windows SmartScreen, ora risolta, attraverso una campagna di phishing che distribuisce falsi installer di software Microsoft per propagare il codice malevolo.
La Campagna di DarkGate: Dettagli sulla Minaccia:
DarkGate è un Trojan a accesso remoto (RAT) scritto in Borland Delphi che è stato pubblicizzato come malware-as-a-service (MaaS) su un forum di cybercrime in lingua russa almeno dal 2018. Secondo Trend Micro, i ricercatori descrivono DarkGate come “uno dei ceppi di malware più prolifici, sofisticati e attivi nel mondo del crimine informatico”.
Approfondimento Tecnico:
La vulnerabilità sfruttata nella campagna è legata al bypass di una vulnerabilità precedentemente patchata di SmartScreen, CVE-2023-36025, che colpisce tutte le versioni supportate di Windows. DarkGate sfrutta questa falla per eludere le protezioni di Microsoft Defender SmartScreen, permettendo l’infezione del malware.
Abuso dei Reindirizzamenti Aperti di Google: Tattiche Utilizzate:
La campagna di phishing DarkGate osservata da TrendMicro utilizza una tattica comune abusata dai threat actorsi per utilizzare reindirizzamenti aperti nelle tecnologie di Google DoubleClick Digital Marketing (DDM), che possono portare all’esecuzione del codice quando accoppiate con bypass di sicurezza. Tale approccio consente agli aggressori di diffondere in modo efficace malware e istruzioni malevoli e fallaci attraverso una catena continua di sistemi integrati di intelligenza artificiale.
Patch e Difesa: Consigli per la Sicurezza:
Gli amministratori dei sistemi Windows possono evitare la compromissione della campagna di DarkGate CVE-2024-21412 patchando i loro sistemi con la soluzione fornita da Microsoft. Oltre a questo, ci sono altri passaggi che le organizzazioni possono intraprendere per difendere i loro ambienti tecnologici. È essenziale sensibilizzare e istruire i dipendenti sull’installazione di software sconosciuti sui propri dispositivi e adottare pratiche di monitoraggio continuo per l’identificazione delle vulnerabilità.
