Trend Micro ha rilasciato un aggiornamento per il prodotto consumer Security che risolve il bug sfruttato dal gruppo Moshen Dragon per distribuire malware. Il problema, scoperto dai ricercatori di SentinelOne all’inizio del mese, riguarda anche altre soluzioni di sicurezza, tra cui quelle offerte da NortonLifeLock, Bitdefender, McAfee e Kaspersky. L’azienda giapponese sottolinea che la questione non riguarda i prodotti aziendali, come Trend Micro One.
Chiuso il bug usato da Moshen Dragon
Moshen Dragon è un gruppo di cybercriminali cinesi molto attivi in Asia centrale e responsabili di numerosi attacchi contro aziende di telecomunicazioni. L’obiettivo è distribuire le backdoor ShadowPad e PlugX a scopo di spionaggio, sfruttando una tecnica nota come “DLL search order hijacking“. In pratica viene copiata una DLL nelle directory dei software antivirus. Windows cerca la DLL e la carica in memoria. La DLL in questione carica quindi il payload finale, ovvero la backdoor.
Dato che le soluzioni di sicurezza, come Trend Micro Security, vengono eseguite con privilegi elevati, il malware può aggirare le protezioni e agire indisturbato. Il gruppo Moshen Dragon ha quindi sfruttato software legittimi per mantenere la persistenza sui computer Windows e rubare i dati sensibili.
Trend Micro ha rilasciato il fix che chiude il bug, bloccando questo tipo di minaccia. Contrariamente a quanto rilevato da SentinelOne, Bitdefender ha comunicato che la sua tecnologia Self-Protect impedisce il caricamento delle DLL di terze parti. Pertanto gli utenti sono protetti da eventuali attacchi DLL search order hijacking.