28 de agosto de 2024Ravie LakshmananAtaque cibernético / Vulnerabilidad Un ciberespionaje alineado con Corea del Sur se ha relacionado con la explotación de día cero de una falla crítica de ejecución remota de código ahora parcheada en Kingsoft WPS Office para implementar una puerta trasera a medida denominada SpyGlace. La actividad se ha atribuido a un actor de amenazas denominado APT-C-60, según las empresas de ciberseguridad ESET y DBAPPSecurity. Se ha descubierto que los ataques infectan a usuarios chinos y del este de Asia con malware. La falla de seguridad en cuestión es CVE-2024-7262 (puntuación CVSS: 9,3), que se debe a la falta de una validación adecuada de las rutas de archivo proporcionadas por el usuario. Esta laguna permite esencialmente que un adversario cargue una biblioteca arbitraria de Windows y logre la ejecución remota de código. El fallo «permite la ejecución de código mediante el secuestro del flujo de control del componente del complemento WPS Office promecefpluginhost.exe», dijo ESET, añadiendo que encontró otra forma de conseguir el mismo efecto. La segunda vulnerabilidad se conoce como CVE-2024-7263 (puntuación CVSS: 9,3). El ataque concebido por APT-C-60 convierte la falla en un exploit de un solo clic que toma la forma de un documento de hoja de cálculo con trampa explosiva que se cargó en VirusTotal en febrero de 2024. Específicamente, el archivo viene incrustado con un enlace malicioso que, cuando se hace clic, desencadena una secuencia de infección de varias etapas para entregar el troyano SpyGlace, un archivo DLL llamado TaskControler.dll que viene con capacidades de robo de archivos, carga de complementos y ejecución de comandos. «Los desarrolladores del exploit incrustaron una imagen de las filas y columnas de la hoja de cálculo dentro de la hoja de cálculo para engañar y convencer al usuario de que el documento es una hoja de cálculo normal», dijo el investigador de seguridad Romain Dumont. «El hipervínculo malicioso estaba vinculado a la imagen para que al hacer clic en una celda de la imagen se activara el exploit». Se cree que APT-C-60 está activo desde 2021, y que SpyGlace se detectó en la red en junio de 2022, según el proveedor de ciberseguridad ThreatBook, con sede en Pekín. «Tanto si el grupo desarrolló como si compró el exploit para CVE-2024-7262, definitivamente requirió cierta investigación sobre los aspectos internos de la aplicación, pero también conocimiento de cómo se comporta el proceso de carga de Windows», dijo Dumont. «El exploit es astuto, ya que es lo suficientemente engañoso como para engañar a cualquier usuario para que haga clic en una hoja de cálculo de apariencia legítima y, al mismo tiempo, es muy eficaz y confiable. La elección del formato de archivo MHTML permitió a los atacantes convertir una vulnerabilidad de ejecución de código en una vulnerabilidad remota». La revelación se produce cuando la empresa de ciberseguridad eslovaca señaló que se ha descubierto que un complemento malicioso de terceros para la aplicación de mensajería Pidgin llamado ScreenShareOTR (o ss-otr) contiene código responsable de descargar binarios de siguiente etapa desde un servidor de comando y control (C&C), lo que en última instancia conduce a la implementación del malware DarkGate. «La funcionalidad del complemento, como se anuncia, incluye el uso compartido de pantalla que utiliza el protocolo de mensajería segura fuera de registro (OTR). Sin embargo, además de eso, el complemento contiene código malicioso», dijo ESET. «Específicamente, algunas versiones de pidgin-screenshare.dll pueden descargar y ejecutar un script de PowerShell desde el servidor C&C». El complemento, que también contiene funciones de captura de pantalla y keylogger, ha sido eliminado desde entonces de la lista de complementos de terceros. Se recomienda a los usuarios que hayan instalado el complemento que lo eliminen con efecto inmediato. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.