Des pirates exploitent la faille SmartScreen de Windows Defender pour diffuser le logiciel malveillant DarkGate. Cette faille avait pourtant été corrigée dans le Patch Tuesday de février 2024.
Une récente série d'attaques orchestrée par la société DarkGate a tiré parti d'une vulnérabilité au sein de SmartScreen, une composante de Windows Defender, pour contourner les mécanismes de sécurité et installer insidieusement des programmes frauduleux.
Cette faille, référencée sous le code CVE-2024-21412, offre aux cybercriminels une opportunité unique d'éviter les avertissements de sécurité habituels générés par la fonction SmartScreen de Windows Defender. Microsoft a rapidement corrigé cette faille dans son Patch Tuesday de février 2024. Problème, des pirates avaient agi avant cette mise à jour mensuelle de Microsoft.
L'exploitation de la faille par les attaquants
L'attaque exploitant la faille SmartScreen de Windows commence par le biais d'e-mails frauduleux contenant des pièces jointes au format PDF et des liens malveillants. Ces liens utilisent des redirections astucieuses, profitant des services de Google DoubleClick Digital Marketing, afin de contourner les filtres de sécurité des boîtes de réception électroniques. Lorsqu'un destinataire imprudent clique sur l'un de ces liens, il est redirigé vers un serveur compromis hébergeant un fichier de raccourci Internet (.url). Ce fichier, à son tour, pointe vers un second raccourci hébergé sur un serveur WebDAV contrôlé par les pirates.
Ce système d'attaques profite du manque de vigilance des victimes, et de l'opportunisme des pirates, comme en témoigne l'arrestation de cet adolescent de 17 ans, dans une affaire de phishing lui ayant rapporté plus de 700 000 euros.
Cette cascade de redirections permet aux attaquants de tirer parti de la faille CVE-2024-21412, entraînant ainsi l'exécution automatique d'un fichier d'installation MSI malveillant sur l'appareil ciblé. Ces fichiers MSI sont souvent déguisés en logiciels légitimes, tels que des pilotes NVIDIA ou des applications populaires comme iTunes ou Notion. Une fois le processus de déploiement lancé, une série de vulnérabilités supplémentaires sont exploitées pour exécuter la charge utile du malware DarkGate.
La sophistication de DarkGate et ses conséquences
Trend Micro indique que cette campagne utilise la version 6.1.7 de DarkGate qui, par rapport à l'ancienne version 5, présente une configuration cryptée XOR, de nouvelles options de configuration et des mises à jour des valeurs de commande et de contrôle (C2).
Les paramètres de configuration disponibles dans DarkGate 6 permettent à ses opérateurs de déterminer diverses tactiques opérationnelles et techniques d'évasion, telles que l'activation de la persistance au démarrage ou la spécification de la taille minimale de stockage sur disque et de RAM pour échapper aux environnements d'analyse.
La première mesure à prendre pour réduire les risques liés à ces attaques est d'appliquer la mise à jour Patch Tuesday de Microsoft de février 2024, qui corrige la CVE-2024-21412. L'occasion également pour effectuer la mise à jour du Patch Tuesday de mars 2024, qui corrige plus de 40 failles.
Trend Micro a par ailleurs publié la liste complète des indicateurs de compromission (IoC) de cette campagne DarkGate.
01 décembre 2024 à 11h06
Sources : The Hacker News, TrendMicro, TrendMicro files