Una falla de seguridad sin parchear que afecta a Microsoft Windows ha sido
explotada por 11 grupos patrocinados por estados de China, Irán, Corea del
Norte y Rusia como parte de campañas de robo de datos, espionaje y con fines
financieros que se remontan a 2017.
La vulnerabilidad Zero-Day, identificada por Trend Micro Zero Day Initiative
(ZDI) como
ZDI-CAN-25373, se refiere a un problema que permite ejecutar comandos maliciosos ocultos
en el equipo de la víctima mediante el uso de archivos de
acceso directo de Windows o enlaces de shell (.LNK)
especialmente creados.
«Los ataques aprovechan argumentos ocultos de la línea de comandos dentro
de los archivos .LNK para ejecutar cargas maliciosas, lo que dificulta la
detección»,
declararon los investigadores
de seguridad Peter Girnus y Aliakbar Zahravi.
«La explotación de ZDI-CAN-25373 expone a las organizaciones a riesgos
significativos de robo de datos y ciberespionaje». Específicamente, esto implica rellenar los argumentos con caracteres de
avance de línea (\x0A) y retorno de carro (\x0D) para evitar su detección.
Hasta la fecha, se han descubierto cerca de 1.000 artefactos de archivos
.LNK que explotan ZDI-CAN-25373.
La mayoría de las muestras están vinculadas a
Evil Corp
(Agua Asena), Kimsuky (Tierra Kumiho), Konni (Tierra Imp), Bitter (Tierra
Anansi) y ScarCruft (Tierra Manticore).
De los 11 actores de amenazas patrocinados por estados que se han descubierto
abusando de la falla, casi la mitad provienen de Corea del Norte. Además de
explotar la falla en diversas ocasiones, el hallazgo indica una colaboración
cruzada entre los diferentes grupos de amenazas que operan dentro del aparato
cibernético de Pyongyang.
Los datos de telemetría indican que gobiernos, entidades privadas,
organizaciones financieras, centros de investigación, proveedores de servicios
de telecomunicaciones y agencias militares y de defensa de Estados Unidos,
Canadá, Rusia, Corea del Sur, Vietnam y Brasil se han convertido en los
principales objetivos de ataques que explotan esta vulnerabilidad.
En los ataques analizados por ZDI, los archivos .LNK actúan como vehículo de
distribución para familias de malware conocidas como Lumma Stealer, GuLoader y
Remcos RAT, entre otras. Entre estas campañas destaca la explotación de
ZDI-CAN-25373 por parte de Evil Corp para distribuir
Raspberry Robin.
Microsoft, por su parte, ha clasificado el problema como de baja gravedad y
no tiene previsto publicar una solución.
Fuente:
THN