Im Januar 2024 nutzte eine Malware-Kampagne namens DarkGate eine kürzlich gepatchte Sicherheitslücke in Microsoft Windows als Zero-Day-Angriff, indem sie gefälschte Software-Installer einsetzte. Die Kampagne lockte Nutzer mit PDFs, die Google DoubleClick Digital Marketing (DDM) Open Redirects enthielten und die Opfer zu kompromittierten Websites führten, wo durch Ausnutzung der Schwachstelle CVE-2024-21412 (CVSS-Wertung: 8.1) bösartige Microsoft-Installer (.MSI) heruntergeladen wurden. Diese Schwachstelle, die es einem Angreifer ermöglicht, die SmartScreen-Schutzmaßnahmen von Windows zu umgehen, wurde von Microsoft im Rahmen der Patch-Dienstag-Updates für Februar 2024 behoben.
Trend Micro stellte fest, dass diese Schwachstelle breiter ausgenutzt wurde als zuvor angenommen, mit einer DarkGate-Kampagne, die sie in Verbindung mit Open Redirects von Google Ads nutzte, um die Malware zu verbreiten. Die Angriffskette begann, wenn Opfer auf einen Link in einem per Phishing-E-Mail gesendeten PDF-Anhang klickten. Dieser Link führte über ein Open Redirect von Googles doubleclick[.]net-Domain zu einem kompromittierten Webserver, der eine bösartige .URL-Internetverknüpfungsdatei bereitstellte, die CVE-2024-21412 ausnutzte.
Die Angreifer verteilten gefälschte Microsoft-Software-Installer, die als legitime Software getarnt waren, darunter Apple iTunes, Notion und NVIDIA, ausgestattet mit einer seitlich geladenen DLL-Datei, die Benutzer mit DarkGate (Version 6.1.7) infizierte. Diese Methode zeigt, wie wichtig es ist, wachsam zu bleiben und Benutzer anzuweisen, keinem Software-Installer zu vertrauen, den sie außerhalb offizieller Kanäle erhalten.
Diese Entwicklung folgt auf die Entdeckung neuer Stealer-Malware-Familien wie Planet Stealer, Rage Stealer und Tweaks, die die Vielzahl von Cyber-Bedrohungen ergänzen, die sensible Informationen von kompromittierten Hosts ernten können. Angreifer nutzen beliebte Plattformen wie YouTube und Discord, um Tweaks an Roblox-Nutzer zu verteilen, was die Fähigkeit legitimer Plattformen nutzt, der Erkennung durch Webfilter zu entgehen, die normalerweise bekannte bösartige Server blockieren.
Diese Kampagnen unterstreichen die anhaltenden Herausforderungen beim Schutz digitaler Infrastrukturen vor ausgeklügelten Bedrohungen und die Bedeutung der Cybersicherheit in der heutigen vernetzten Welt.