Gli esperti di Trend Micro hanno individuato nuovi attacchi effettuati con il malware DarkGate che permette di aggirare la protezione offerta a Windows Defender SmartScreen. Il RAT (Remote Access Trojan) viene distribuito tramite installer fasulli di noti software. Fortunatamente è già disponibile la patch, rilasciata da Microsoft a febbraio, che limita i rischi.
DarkGate sfrutta un bug zero-day
SmartScreen è la funzionalità che avvisa l’utente quando tenta di eseguire un file sospetto scaricato da Internet. La vulnerabilità zero-day, indicata con CVE-2024-21412, può essere sfruttata per aggirare la protezione con un file specifico. L’attacco inizia con l’invio di un’email di phishing con un allegato PDF.
Cliccando sul link nel PDF, l’ignara vittima viene portata su un web server che ospita un file .URL. Quest’ultimo è collegato ad un secondo file .URL che scarica ed esegue un file .MSI con nomi simili a quelli di installer noti di NVIDIA o altri produttori.
Sfruttando la tecnica DLL sideloading, DarkGate viene eseguito sul computer. I cybercriminali possono quindi accedere da remoto, registrare i tasti premuti (keylogging), rubare dati e installare altri malware. Gli utenti non si accorgono di nulla perché l’uso dei file .URL consente di sfruttare la suddetta vulnerabilità e SmartScreen non mostra nessun avviso.
Come detto è assolutamente necessario installare la patch rilasciata da Microsoft a febbraio e inclusa anche nell’aggiornamento cumulativo del 12 marzo.