Gli attacchi informatici costituiscono una minaccia sempre più diffusa e sofisticata per la sicurezza online. Recentemente, gli esperti di Trend Micro hanno scoperto un nuovo tipo di attacco perpetrato attraverso il malware DarkGate, il quale riesce a eludere le difese di Windows Defender SmartScreen. Questo RAT (Remote Access Trojan) è stato utilizzato da cybercriminali ignoti per distribuire installer fasulli di software noti, veicolando così il malware.
DarkGate sfrutta una vulnerabilità zero-day di SmartScreen, identificata con il codice CVE-2024-21412, che consente di aggirare le protezioni e infettare i sistemi degli utenti. L’attacco ha inizio con l’invio di e-mail di phishing contenenti allegati PDF che inducono le vittime ad aprire un link. Questo link reindirizza gli utenti verso un server web che ospita un file .URL, il quale a sua volta è collegato ad un secondo file .URL che scarica ed esegue un file .MSI. Questo file .MSI, camuffato con nomi simili a quelli degli installer legittimi, è in realtà un veicolo per l’installazione di DarkGate.
Una delle tecniche utilizzate per l’infezione è il “DLL sideloading”, che permette l’esecuzione di DarkGate sul sistema dell’utente. Una volta installato, il malware consente ai cybercriminali di accedere al computer da remoto, sfruttando funzionalità come il keylogging per registrare le tastiere premute dall’utente, rubare dati sensibili e installare ulteriori malware. Tuttavia, l’ingegnosità di DarkGate non si limita all’infezione del sistema, ma include anche la capacità di eludere le avvertenze di SmartScreen, che di norma segnalerebbe un file sospetto.
Fortunatamente, Microsoft ha rilasciato una patch correttiva per questa vulnerabilità a febbraio, e l’aggiornamento cumulativo del 12 marzo ha ulteriormente rinforzato le difese. È quindi di vitale importanza per gli utenti installare tempestivamente queste patch per proteggere i propri sistemi da minacce informatiche come DarkGate.
