Un grupo de ciberespionaje aliado con Corea del Sur ha sido vinculado a la explotación de día cero de una falla crítica de ejecución remota de código ahora parcheada en Kingsoft WPS Office para implementar una puerta trasera a medida denominada SpyGlace.
La actividad ha sido atribuida a un actor de amenazas denominado APT-C-60según las empresas de ciberseguridad ESET y DBAPPSecurity. Los ataques han sido encontró infectar a usuarios chinos y del este de Asia con malware.
La falla de seguridad en cuestión es CVE-2024-7262 (puntuación CVSS: 9,3), que se debe a la falta de una validación adecuada de las rutas de archivo proporcionadas por el usuario. Esta laguna permite básicamente que un adversario cargue una biblioteca arbitraria de Windows y logre la ejecución remota de código.
El error «permite la ejecución de código mediante el secuestro del flujo de control del componente del complemento WPS Office promecefpluginhost.exe», dijo ESET. dichoy agregó que encontró otra forma de lograr el mismo efecto. La segunda vulnerabilidad se rastrea como CVE-2024-7263 (Puntuación CVSS: 9,3).
El ataque concebido por APT-C-60 convierte la falla en un exploit de un solo clic que toma la forma de un documento de hoja de cálculo con trampa explosiva que se cargó en VirusTotal en febrero de 2024.
Específicamente, el archivo viene incrustado con un enlace malicioso que, al hacer clic, desencadena una secuencia de infección de varias etapas para entregar el troyano SpyGlace, un archivo DLL llamado TaskControler.dll que viene con capacidades de robo de archivos, carga de complementos y ejecución de comandos.
«Los desarrolladores del exploit insertaron una imagen de las filas y columnas de la hoja de cálculo dentro de la hoja de cálculo para engañar y convencer al usuario de que el documento es una hoja de cálculo normal», dijo el investigador de seguridad Romain Dumont. «El hipervínculo malicioso estaba vinculado a la imagen para que al hacer clic en una celda de la imagen se activara el exploit».
APT-C-60 es creído Estar activo desde 2021, con SpyGlace detectado en circulación desde junio de 2022, según el proveedor de ciberseguridad ThreatBook, con sede en Beijing.
«Independientemente de si el grupo desarrolló o compró el exploit para CVE-2024-7262, definitivamente requirió cierta investigación sobre los aspectos internos de la aplicación, pero también conocimiento de cómo se comporta el proceso de carga de Windows», dijo Dumont.
«El exploit es astuto, ya que es lo suficientemente engañoso como para engañar a cualquier usuario para que haga clic en una hoja de cálculo de apariencia legítima, y al mismo tiempo es muy eficaz y confiable. La elección del formato de archivo MHTML permitió a los atacantes convertir una vulnerabilidad de ejecución de código en una vulnerabilidad remota».
La revelación se produce cuando la empresa eslovaca de ciberseguridad señaló que un complemento malicioso de terceros para la aplicación de mensajería Pidgin llamado ScreenShareOTR (o ss-otr) albergaba un código responsable de descargar binarios de la siguiente etapa desde un servidor de comando y control (C&C), lo que en última instancia condujo a la implementación del malware DarkGate.
«La funcionalidad del complemento, como se anuncia, incluye el uso compartido de pantalla mediante el protocolo seguro de mensajería off-the-record (OTR). Sin embargo, además de eso, el complemento contiene código malicioso», dijo ESET dicho«Específicamente, algunas versiones de pidgin-screenshare.dll pueden descargar y ejecutar un script de PowerShell desde el servidor C&C».
El complemento, que también contiene funciones de captura de pantalla y keylogger, ha sido utilizado desde entonces. remoto desde lista de complementos de tercerosSe recomienda a los usuarios que hayan instalado el complemento que lo eliminen con efecto inmediato.
ESET tiene desde entonces encontró que el mismo código de puerta trasera malicioso que ScreenShareOTR también se ha descubierto en una aplicación llamada Cuna («cuna[.]im») que pretende ser una bifurcación de código abierto de la aplicación de mensajería Signal. La aplicación ha estado disponible para descargar durante casi un año a partir de septiembre de 2023.
El código malicioso se descarga ejecutando un script de PowerShell, que luego obtiene y ejecuta un script de AutoIt compilado que finalmente instala DarkGate. La versión Linux de Cradle ofrece un ejecutable ELF que descarga y ejecuta comandos de shell y envía los resultados a un servidor remoto.
Otro indicador común es que tanto el instalador del complemento como la aplicación Cradle están firmados con un certificado digital válido emitido a una empresa polaca llamada «INTERREX – SP. Z OO», lo que indica que los perpetradores están utilizando diferentes métodos para propagar malware.