在1月中旬的观察中,DarkGate恶意软件活动被注意到利用微软Windows最近修补的安全漏洞。这种零日漏洞利用欺骗性软件安装程序来诱骗毫无戒心的用户。
更多细节
-
趋势科技报告称,用户被包含Google DoubleClick Digital Marketing (DDM)开放重定向的pdf文件所吸引。
-
这些重定向将毫无戒心的受害者定向到托管Microsoft Windows SmartScreen绕过漏洞(CVE-2024-21412)的受感染网站,该漏洞导致恶意Microsoft (MSI)安装程序的交付。
-
这些假冒的MSI伪装成正版软件,包括苹果iTunes、Notion和NVIDIA,以诱骗用户下载DarkGate恶意软件。
值得注意的是,该漏洞之前曾被Water Hydra组织利用DarkMe恶意软件攻击金融交易员。
假冒软件安装程序仍然是一个潜在的威胁
-
与此同时,ASEC和eSentire透露,Adobe Reader、Notion和Synaptics的假冒安装程序正通过伪造的PDF文件和看似合法的网站传播,以部署LummaC2和XRed后门等信息窃取程序。
-
此外,Sophos X-Ops分析师指出,QBot背后的开发人员欺骗用户下载了一个伪装成Adobe产品安装程序的QBot变体。
结论
用户被敦促应用必要的安全补丁,以避免此类攻击。此外,他们必须避免从不明来源或通过嵌入在电子邮件中的链接下载合法软件的安装程序。组织必须了解与活动相关的ioc,以便在初始阶段阻止威胁。
原文始发于微信公众号(HackSee):DarkGate战役利用Windows智能屏幕绕过缺陷
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论