Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El grupo APT-C-60 aprovecha la falla de WPS Office para implementar la puerta trasera SpyGlace
  • Tecnología

El grupo APT-C-60 aprovecha la falla de WPS Office para implementar la puerta trasera SpyGlace

teknomers 28 de Ağustos de 2024 (Last updated: 28 de Ağustos de 2024) 5 minutes read
El grupo APT-C-60 aprovecha la falla de WPS Office para


28 de agosto de 2024Ravie LakshmananAtaque cibernético / vulnerabilidad

Un grupo de ciberespionaje aliado con Corea del Sur ha sido vinculado a la explotación de día cero de una falla crítica de ejecución remota de código ahora parcheada en Kingsoft WPS Office para implementar una puerta trasera a medida denominada SpyGlace.

La actividad ha sido atribuida a un actor de amenazas denominado APT-C-60según las empresas de ciberseguridad ESET y DBAPPSecurity. Los ataques han sido encontró infectar a usuarios chinos y del este de Asia con malware.

La falla de seguridad en cuestión es CVE-2024-7262 (puntuación CVSS: 9,3), que se debe a la falta de una validación adecuada de las rutas de archivo proporcionadas por el usuario. Esta laguna permite básicamente que un adversario cargue una biblioteca arbitraria de Windows y logre la ejecución remota de código.

Ciberseguridad

El error “permite la ejecución de código mediante el secuestro del flujo de control del componente del complemento WPS Office promecefpluginhost.exe”, dijo ESET. dichoy agregó que encontró otra forma de lograr el mismo efecto. La segunda vulnerabilidad se rastrea como CVE-2024-7263 (Puntuación CVSS: 9,3).

El ataque concebido por APT-C-60 convierte la falla en un exploit de un solo clic que toma la forma de un documento de hoja de cálculo con trampa explosiva que se cargó en VirusTotal en febrero de 2024.

Específicamente, el archivo viene incrustado con un enlace malicioso que, al hacer clic, desencadena una secuencia de infección de varias etapas para entregar el troyano SpyGlace, un archivo DLL llamado TaskControler.dll que viene con capacidades de robo de archivos, carga de complementos y ejecución de comandos.

“Los desarrolladores del exploit insertaron una imagen de las filas y columnas de la hoja de cálculo dentro de la hoja de cálculo para engañar y convencer al usuario de que el documento es una hoja de cálculo normal”, dijo el investigador de seguridad Romain Dumont. “El hipervínculo malicioso estaba vinculado a la imagen para que al hacer clic en una celda de la imagen se activara el exploit”.

APT-C-60 es creído Estar activo desde 2021, con SpyGlace detectado en circulación desde junio de 2022, según el proveedor de ciberseguridad ThreatBook, con sede en Beijing.

“Independientemente de si el grupo desarrolló o compró el exploit para CVE-2024-7262, definitivamente requirió cierta investigación sobre los aspectos internos de la aplicación, pero también conocimiento de cómo se comporta el proceso de carga de Windows”, dijo Dumont.

“El exploit es astuto, ya que es lo suficientemente engañoso como para engañar a cualquier usuario para que haga clic en una hoja de cálculo de apariencia legítima, y ​​al mismo tiempo es muy eficaz y confiable. La elección del formato de archivo MHTML permitió a los atacantes convertir una vulnerabilidad de ejecución de código en una vulnerabilidad remota”.

Ciberseguridad

La revelación se produce cuando la empresa eslovaca de ciberseguridad señaló que un complemento malicioso de terceros para la aplicación de mensajería Pidgin llamado ScreenShareOTR (o ss-otr) albergaba un código responsable de descargar binarios de la siguiente etapa desde un servidor de comando y control (C&C), lo que en última instancia condujo a la implementación del malware DarkGate.

“La funcionalidad del complemento, como se anuncia, incluye el uso compartido de pantalla mediante el protocolo seguro de mensajería off-the-record (OTR). Sin embargo, además de eso, el complemento contiene código malicioso”, dijo ESET dicho“Específicamente, algunas versiones de pidgin-screenshare.dll pueden descargar y ejecutar un script de PowerShell desde el servidor C&C”.

El complemento, que también contiene funciones de captura de pantalla y keylogger, ha sido utilizado desde entonces. remoto desde lista de complementos de tercerosSe recomienda a los usuarios que hayan instalado el complemento que lo eliminen con efecto inmediato.

ESET tiene desde entonces encontró que el mismo código de puerta trasera malicioso que ScreenShareOTR también se ha descubierto en una aplicación llamada Cuna (“cuna[.]im”) que pretende ser una bifurcación de código abierto de la aplicación de mensajería Signal. La aplicación ha estado disponible para descargar durante casi un año a partir de septiembre de 2023.

El código malicioso se descarga ejecutando un script de PowerShell, que luego obtiene y ejecuta un script de AutoIt compilado que finalmente instala DarkGate. La versión Linux de Cradle ofrece un ejecutable ELF que descarga y ejecuta comandos de shell y envía los resultados a un servidor remoto.

Otro indicador común es que tanto el instalador del complemento como la aplicación Cradle están firmados con un certificado digital válido emitido a una empresa polaca llamada “INTERREX – SP. Z OO”, lo que indica que los perpetradores están utilizando diferentes métodos para propagar malware.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El defensa del FC Emmen Schouten tiene claro el futuro tras un pequeño incidente
Next: El valor de mercado de Berkshire Hathaway, de Buffett, supera el billón de dólares

Related Stories

Amazfit GTR 4 de 46 mm a 113,90 € en
  • Tecnología

Amazfit GTR 4 de 46 mm a 113,90 € en lugar de 199,90 € en Teknomers

teknomers 18 de Temmuz de 2026
Control de Chat, CSAM: Proton revela su técnica de lucha,
  • Tecnología

Control de Chat, CSAM: Proton revela su técnica de lucha, sin puertas traseras y sin escaneo

teknomers 18 de Temmuz de 2026
NVIDIA RTX 50 SUPER ya disponible en los socios, pero
  • Tecnología

NVIDIA RTX 50 SUPER ya disponible en los socios, pero el lanzamiento detenido por la GDDR7 3 Go

teknomers 18 de Temmuz de 2026

You May Have Missed

« Hemos visto cosas que nos han sorprendido mucho »:
  • Deporte

« Hemos visto cosas que nos han sorprendido mucho »: antes de la final, Aymeric Laporte cuestiona el arbitraje de Argentina

teknomers 18 de Temmuz de 2026
Amazfit GTR 4 de 46 mm a 113,90 € en
  • Tecnología

Amazfit GTR 4 de 46 mm a 113,90 € en lugar de 199,90 € en Teknomers

teknomers 18 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: Joan Capdevila hace un llamamiento al presidente de EE. UU. Donald Trump tras la denegación de su visa

teknomers 18 de Temmuz de 2026
"Es como si sus vidas no tuvieran importancia..." : en
  • salud

“Es como si sus vidas no tuvieran importancia…” : en noviembre de 2024, seis turistas murieron en Laos tras una noche de fiesta; un año y medio después, el país sigue manteniendo el misterio sobre las causas del fallecimiento.

teknomers 18 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.