Операторы DarkGate начали использовать уязвимость Windows SmartScreen

Екатерина Быстрова 14 Марта 2024 - 10:27

Домашние пользователи

...

В новой волне атак операторов вредоносной программ DarkGate фигурирует уязвимость в Windows Defender SmartScreen, с помощью которой злоумышленники обходят защитные функции ОС и устанавливают фейковый софт.

Речь идёт о бреши под идентификатором CVE-2024-21412, которую Microsoft устранила с выходом февральского набора патчей. До этого она получила статус 0-day, именно её эксплуатировал троян DarkMe.

SmartScreen — защитный механизм в Windows, предупреждающий пользователя при попытках открыть подозрительный файл, скачанный из Сети. CVE-2024-21412 помогает использовать специально подготовленные файлы для обхода алертов.

Для эксплуатации используются интернет-ярлыки (.url-файлы), указывающие на другие ярлыки, которые хранятся на удалённой SMB-шаре. Такой метод приводит к тому, что конечный файл запустится автоматически в целевой системе.

Как сообщают специалисты Trend Micro, DarkGate тоже взял на вооружение эксплойт для CVE-2024-21412. Операторы трояна начинают атаку с вредоносного письма с PDF-вложением. Для обхода защитных механизмов используется открытый редирект с помощью Google DoubleClick Digital Marketing (DDM).

Когда жертва нажимает на ссылку, её перенаправляют на скомпрометированный сервер, где хранится файл-ярлык. Последний ссылается на другой аналогичный файл на подконтрольном злоумышленникам WebDAV-сервере.

Открытие второго ярлыка через Windows Shortcut позволяет использовать CVE-2024-21412 для автоматического запуска вредоносного MSI-файла. Такие файлы маскируются под софт от NVIDIA, Notion и под Apple iTunes.

Далее эксплуатируется брешь сторонней загрузки DLL. Подгружаются libcef.dll и sqlite3.dll для расшифровки и запуска пейлоада DarkGate.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 11:57

Сбои программ Общее

Сбой у Сбера быстро перекинулся на ВТБ, Т-Банк, Ozon-банк и СБП

Утренний сбой в работе «Сбербанк Онлайн», похоже, быстро перестал быть историей только про один банк. Почти одновременно о проблемах с доступом к сервисам начали сообщать клиенты ВТБ, Т-Банка, Ozon-банка, а также пользователи системы быстрых платежей.

Судя по сообщениям пользователей и данным сервисов мониторинга сбоев, неполадки затронули сразу несколько крупных финансовых платформ.

Тут дело точно не в локальной проблеме внутри одного приложения, а в более широкой волне сбоев, которая задела сразу несколько заметных игроков финансового рынка.

Больше всего жалоб поступает из крупнейших регионов страны — Москвы, Санкт-Петербурга, Московской, Свердловской и Новосибирской областей. Но только ими дело не ограничилось: о перебоях также сообщают пользователи из Самарской и Оренбургской областей, Приморского края, Татарстана, Удмуртии и других регионов.

При этом характер проблем у разных сервисов немного отличается. У клиентов ВТБ чаще всего возникают трудности с доступом к сайту, чуть реже — к мобильному приложению. У пользователей Т-Банка, наоборот, основной удар пришёлся именно по приложению, тогда как сайт упоминается заметно реже.

У Ozon-банка картина своя: там пользователи в основном жалуются на некорректную работу самих сервисов и приложения. Проблемы с сайтом, судя по обращениям, встречаются значительно реже.

Параллельно начали поступать сообщения и о сбоях в системе быстрых платежей. Пользователи пишут, что не могут переводить деньги и оплачивать покупки.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!