昨天（3月13日），趨勢科技分析師報告稱有黑客利用Windows SmartScreen 漏洞在目標系統投放DarkGate 惡意軟件。

該漏洞被追蹤為 CVE-2024-21412 漏洞，是一個 Windows Defender SmartScreen 漏洞，它允許特制的下載文件繞過這些安全警告。SmartScreen 是 Windows 的一項安全功能，當用戶試圖運行從互聯網下載的未識別或可疑文件時會顯示警告。

攻擊者可以通過創建一個Windows Internet快捷方式（.url文件）來利用這個漏洞，該快捷方式指向另一個托管在遠程SMB共享上的.url文件，這將導致最終位置的文件被自動執行。

今年二月中旬，微軟已經修復了該漏洞。但據趨勢科技披露，Water Hydra黑客組織曾利用該漏洞將DarkMe惡意軟件投放到交易商的系統中。

“DarkGate”攻擊細節

攻擊始于一封包含 PDF 附件的惡意電子郵件，里面有一個鏈接利用谷歌 DoubleClick Digital Marketing（DDM）服務的開放重定向繞過電子郵件安全檢查。當受害者點擊鏈接時，他們會被重定向到一個托管互聯網快捷方式文件的受攻擊網絡服務器。該快捷方式文件（.url）鏈接到由攻擊者控制的 WebDAV 服務器上托管的第二個快捷方式文件。

利用 CVE-2024-21412 SmartScreen 漏洞 圖源：趨勢科技

使用一個 Windows 快捷方式打開遠程服務器上的第二個快捷方式可有效利用 CVE-2024-21412 漏洞，就會導致惡意 MSI 文件在設備上自動執行。

自動安裝 MSI 文件的第二個 URL 快捷方式 圖源：趨勢科技

這些 MSI 文件偽裝成 NVIDIA、Apple iTunes 應用程序或 Notion 的合法軟件。

執行 MSI 安裝程序后，另一個涉及 "libcef.dll "文件和名為 "sqlite3.dll "的加載器的 DLL 側載漏洞將解密并在系統上執行 DarkGate 惡意軟件有效載荷。

一旦初始化，惡意軟件就能竊取數據、獲取附加有效載荷并將其注入正在運行的進程、執行密鑰記錄并為攻擊者提供實時遠程訪問。

下圖概括了 DarkGate 操作員自 2024 年 1 月中旬以來采用的復雜、多步驟感染鏈：

黑暗之門攻擊鏈 圖源：趨勢科技

趨勢科技稱，此次活動采用的是DarkGate 6.1.7版本，與舊版本5相比，該版本具有XOR加密配置、新配置選項以及命令和控制（C2）值更新等特點。

DarkGate 6 中提供的配置參數使其操作員能夠確定各種操作策略和規避技術，例如啟用啟動持久性或指定最小磁盤存儲和 RAM 大小以規避分析環境。

DarkGate v6 配置參數 圖源：趨勢科技

今年2 月微軟發布了 "星期二補丁 "更新，此次更新修復了 CVE-2024-21412漏洞。用戶應第一時間下載更新包以降低攻擊風險。

入侵指標 (IoC) 列表示意圖（部分）

目前，趨勢科技已公布了此次 DarkGate 活動的完整入侵指標 (IoC) 列表。