Questo mese di ottobre avrebbe dovuto rappresentare una felice parentesi priva di aggiornamenti di sicurezza per Flash Player, invece Adobe è stata in questi giorni costretta a tornare sui propri passi con la distribuzione di una nuova versione del plug-in mondata da un bug di sicurezza piuttosto grave , e quel che è peggio già attivamente sfruttato da ignoti criminali informatici per distribuire un noto spyware pirata.
Classificato come CVE-2017-11292 , il bug è stato individuato dai ricercatori di Kaspersky e porta alla corruzione della memoria di Flash Player con conseguente, possibile esecuzione del codice malevolo camuffato all’interno di un file FLV malformato . Il primo stadio dell’attacco (cioè l’exploit vero e proprio) può essere usato per scaricare ed eseguire il malware contenuto in un eseguibile chiamato “mo.exe”.
Il file FLV malevolo può essere distribuito sia tramite una pagina Web compromessa che per altri mezzi, e nel caso in oggetto Kaspersky parla di documenti Office con integrato un oggetto ActiveX la cui esecuzione porta alla corruzione di memoria di cui sopra. Tutte le versioni di Flash Player sono risultate vulnerabili, ha comunicato Adobe, ma gli attacchi in corso erano prevedibilmente indirizzati ai sistemi basati su OS Windows.
I ricercatori russi hanno individuato la vulnerabilità CVE-2017-11292 come parte di nuovi attacchi APT (Advanced Persistent Threat) condotti da BlackOasis , un hacker già noto per aver abusato di un bug zero-day in Flash allo scopo di distribuire una copia pirata dello spyware FinFisher /FinSpy.
Anche nel caso del nuovo bug zero-day, lo scopo principale dell’ignoto cyber-criminale sembrava essere quello di installare l’ultima release di FinFisher sui PC di obiettivi politici presenti in paesi come Russia, Iraq, Afghanistan, Nigeria, Arabia Saudita, Iran, Regno Unito e altri ancora.
L’attacco in corso non sarebbe insomma indirizzato alla compromissione dei PC dell’utente comune, anche se la pubblicazione dei dettagli della falla porterà inevitabilmente alla proliferazione del codice di exploit e all’adattamento in campagne malevole di più ambio respiro.
Alfonso Maruccia