La Zero Day Initiative (ZDI) ha recentemente scoperto una campagna DarkGate a metà gennaio 2024, che sfruttava la CVE-2024-21412 attraverso l'uso di falsi programmi di installazione. Durante questa campagna, gli utenti sono stati attirati utilizzando PDF che contenevano reindirizzamenti aperti di Google DoubleClick Digital Marketing (DDM) che conducevano le ignare vittime a siti compromessi che ospitavano il bypass di Microsoft Windows SmartScreen CVE-2024-21412 che portava a programmi di installazione Microsoft (.MSI) dannosi. La campagna di phishing ha utilizzato URL di reindirizzamento aperti dalle tecnologie di Google Ad per distribuire falsi programmi di installazione Microsoft (.MSI) mascherati da software legittimi, tra cui Apple iTunes, Notion, NVIDIA e altri. I falsi programmi di installazione contenevano un file DLL sideloaded che veniva decriptato e infettava gli utenti con un payload di malware DarkGate.

Questa campagna faceva parte della più ampia analisi zero-day della Water Hydra APT. La Zero Day Initiative (ZDI) ha monitorato da vicino questa campagna e ne ha osservato le tattiche. L'utilizzo di falsi programmi di installazione, insieme a reindirizzamenti aperti, è una combinazione potente e può portare a molte infezioni. È essenziale rimanere vigili e istruire gli utenti a non fidarsi di alcun programma di installazione di software ricevuto al di fuori dei canali ufficiali. Sia le aziende che i privati devono adottare misure proattive per proteggere i loro sistemi da queste minacce.

DarkGate, che opera su un modello di malware-as-a-service (MaaS), è uno dei ceppi di malware più prolifici, sofisticati e attivi nel mondo della criminalità informatica. Questo software dannoso è stato spesso utilizzato da attori delle minacce con motivazioni finanziarie per colpire organizzazioni in Nord America, Europa, Asia e Africa.