Специалисты Trend Micro сообщают, что операторы трояна начинают атаку с вредоносного письма с PDF-вложением. Для обхода защитных механизмов используется открытый редирект с помощью Google DoubleClick Digital Marketing (DDM). Когда жертва нажимает на ссылку, ее перенаправляют на скомпрометированный сервер, где хранится файл-ярлык. Последний ссылается на другой аналогичный файл на подконтрольном злоумышленникам WebDAV-сервере.
Открытие второго ярлыка через Windows Shortcut позволяет использовать CVE-2024-21412 для автоматического запуска вредоносного MSI-файла. Такие файлы маскируются под софт от NVIDIA, Notion и под Apple iTunes. Далее эксплуатируется брешь сторонней загрузки DLL. Подгружаются libcef.dll и sqlite3.dll для расшифровки и запуска пейлоада DarkGate.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что контроль за наличием уязвимостей – важная ступень в организации системы защиты информации в инфраструктуре любой компании, особенно крупной. «Чем крупнее компания, тем разнообразнее ПО, используемое в инфраструктуре, и тем большее количество уязвимостей может в ней присутствовать. Контроль уязвимостей вручную – нерациональный процесс, так как они выявляются постоянно. Сегодня на рынке ИБ представлено достаточно много продуктов, предназначенных для автоматизации контроля за известными уязвимостями. Некоторые из них даже дают возможность расчета достижимости уязвимостей и построения векторов атак, что помогает оценить реальность угрозы», – говорит Юлия Парфенова.
*SmartScreen – это защитный механизм в Windows, предупреждающий пользователя при попытках открыть подозрительный файл, скачанный из Сети.