Un defecto de seguridad sin parpadear que afecta a Microsoft Windows ha sido explotado por 11 grupos patrocinados por el estado de China, Irán, Corea del Ártico y Rusia como parte del robo de datos, el espionaje y las campañas motivadas financieramente que se remontan a 2017.
La vulnerabilidad del día cero, rastreada por la iniciativa de día cero de Trend Micro (ZDI) como Aparición-25373se refiere a un problema que permite a los malos actores ejecutar comandos maliciosos ocultos en la máquina de una víctima aprovechando archivos de camino directo o enlace de shell (.lnk) de Windows.
«Los ataques aprovechan los argumentos de la serie de comandos ocultos en el interior de los archivos .lnk para ejecutar cargas avíos maliciosas, lo que complica la detección», dijeron los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en un prospección compartido con The Hacker News. «La explotación de ZDI-Can-25373 expone a las organizaciones a riesgos significativos de robo de datos y espionaje cibernético».
Específicamente, esto implica el relleno de los argumentos con caracteres de comestibles de serie ( x0a) y retorno de carro ( x0d) para evitar la detección.
Hasta la plazo, casi 1,000 artefactos de archivo .lnk que explotan ZDI-Can-25373 se han desenterrado hasta la plazo, con la mayoría de las muestras vinculadas a Evil Corp (Water Asena), Kimsuky (Tierra Kumiho), Konni (Tierra Imp), amarga (Earth Anansi) y Scubruft (Earth Manticore).
De los 11 actores de amenaza patrocinados por el estado que se han enfrentado que abusan de la defecto, casi la fracción de ellos se originan en Corea del Ártico. Encima de explotar el defecto en varios momentos, el hallazgo sirve como una indicación de colaboración cruzada entre los diferentes grupos de amenazas que operan en el interior del artilugio cibernético de Pyongyang.
Los datos de telemetría indican que los gobiernos, las entidades privadas, las organizaciones financieras, los think tanks, los proveedores de servicios de telecomunicaciones y las agencias militares/de defensa ubicadas en los Estados Unidos, Canadá, Rusia, Corea del Sur, Vietnam y Brasil se han convertido en los principales objetivos de ataques que explotan la vulnerabilidad.
En los ataques disecados por ZDI, los archivos .lnk actúan como un transporte de entrega para familias de malware conocidas como Lumma Stealer, Guloader y Remcos Rat, entre otras. Entre estas campañas notables se encuentra la explotación de ZDI-Can-25373 por Evil Corp para distribuir Raspberry Robin.
Microsoft, por su parte, ha clasificado el problema como disminución severidad y no planea exhalar una decisión.
«ZDI-CAN-25373 es un ejemplo de tergiversación (interfaz de afortunado (UI) de información crítica (CWE-451)», dijeron los investigadores. «Esto significa que la interfaz de afortunado de Windows no pudo presentar al afortunado información crítica».
«Al explotar ZDI-Can-25373, el actor de amenaza puede evitar que el afortunado final vea información crítica (comandos que se ejecutan) relacionados con la evaluación del nivel de peligro del archivo».
