Zespół Trend Micro ujawnił, iż w połowie stycznia 2024 roku inicjatywa Zero Day Initiative (ZDI) wykryła działania kampanii DarkGate. Kampania ta wykorzystywała lukę CVE-2024-21412 poprzez rozpowszechnianie fałszywych instalatorów oprogramowania. Użytkownicy byli zwabiani dzięki plików PDF, które zawierały przekierowania open redirect Google DoubleClick Digital Marketing (DDM), kierujące niczego niepodejrzewające ofiary na skompromitowane strony. Te strony umożliwiały ominięcie zabezpieczeń Microsoft Windows SmartScreen poprzez lukę CVE-2024-21412, prowadząc do zainstalowania złośliwego systemu Microsoft (.MSI). W ramach kampanii phishingowej wykorzystywano URL-e przekierowujące od technologii reklamowych Google do dystrybucji fałszywych instalatorów systemu Microsoft (.MSI), udających legitymacyjne aplikacje, takie jak Apple iTunes, Notion, NVIDIA i inne. Fałszywe instalatory zawierały plik DLL, który po załadowaniu deszyfrował i infekował użytkowników złośliwym oprogramowaniem DarkGate.
Szerszy kontekst analizy zero-day Water Hydra APT
Ta kampania była częścią szerszej analizy zagrożeń zero-day przez Water Hydra APT. ZDI uważnie monitorowała tę kampanię, obserwując jej taktykę. Użycie fałszywych instalatorów systemu w połączeniu z przekierowaniami open redirect stanowi skuteczne narzędzie, które może prowadzić do licznych infekcji. Niezmiernie ważne jest, aby zachować czujność i instruować użytkowników, by nie ufali żadnym instalatorom systemu otrzymanym z nieoficjalnych źródeł. Zarówno firmy, jak i indywidualni użytkownicy muszą podjąć proaktywne kroki w celu ochrony swoich systemów przed takimi zagrożeniami.
DarkGate, działający na modelu malware-as-a-service (MaaS), jest jedną z najbardziej rozpowszechnionych, zaawansowanych i aktywnych odmian złośliwego systemu w świecie cyberprzestępczości. To złośliwe oprogramowanie często wykorzystywane jest przez podmioty nastawione na zysk do atakowania organizacji w Ameryce Północnej, Europie, Azji i Afryce.
Wykorzystanie przekierowań open redirect w Google DoubleClick Digital Marketing (DDM)
W ostatnich latach, cyberprzestępcy wykorzystywali technologie reklamowe Google Ads do rozpowszechniania złośliwego oprogramowania. Oprócz kupowania przestrzeni reklamowej i sponsorowanych postów, przestępcy wykorzystywali również przekierowania open redirect w technologiach Google DDM. Wykorzystywanie open redirect może prowadzić do wykonania kodu, zwłaszcza gdy jest używane w połączeniu z omijaniem zabezpieczeń, takich jak CVE-2023-36025 i CVE-2024-21412. Open redirects wykorzystują zaufanie związane z głównymi usługami internetowymi i technologiami, które większość użytkowników uznaje za oczywiste.
Aby zainicjować łańcuch infekcji DarkGate, sprawcy zagrożeń wdrożyli przekierowanie open redirect z domeny doubleclick[.]net w pliku PDF rozpowszechnianym przez kampanię phishingową, używając parametru „adurl”, który przekierowywał ofiarę na skompromitowany serwer internetowy. Cel kampanii phishingowej musiał wybrać przycisk wewnątrz pliku PDF, aby doszło do wykorzystania luki CVE-2024-21412 i infekcji DarkGate.
Google wykorzystuje przekierowania URL jako część swojej platformy reklamowej i innych usług reklamowych online. W swojej istocie, Google DoubleClick oferuje rozwiązania mające na celu pomoc reklamodawcom, wydawcom i agencjom reklamowym w zarządzaniu i optymalizacji ich kampanii reklamowych online. W przeszłości obserwowano wzrost nadużyć ekosystemu reklam Google do dostarczania złośliwego oprogramowania, w tym przez podmioty wykorzystujące popularne kradzieże MaaS takie jak Rhadamanthys i kradzieże macOS, takie jak Atomic Stealer (AMOS). Cyberprzestępcy mogą nadużywać technologii reklamowych Google, aby zwiększyć zasięg złośliwego systemu przez specyficzne kampanie reklamowe i targetowanie określonych odbiorców.