Gli esperti di ESET hanno rilevato diversi attacchi effettuati dal gruppo APT-C-60. I cybercriminali sudcoreani hanno sfruttato due vulnerabilità di WPS Office per Windows, una suite di produttività molto popolare (oltre 500 milioni di utenti attivi nel mondo) sviluppata dall’azienda cinese Kingsoft. L’obiettivo è distribuire la backdoor SpyGlace.
SpyGlace: catena di infezione
I cybercriminali sudcoreani hanno sfruttato la vulnerabilità zero-day CVE-2024-7262 a partire da febbraio 2024. Kingsoft ha rilasciato la patch nel mese di marzo, senza fornire nessun dettaglio. I ricercatori di ESET hanno analizzato l’exploit nascosto in un documento infetto caricato su VirusTotal.
La vulnerabilità era presente nel protocol handler che consente l’esecuzione di un’applicazione esterna quando l’utente clicca su un URL ksoqing:// inserito nel documento. A causa dell’errata validazione dell’URL è possibile scaricare componenti da un server remoto. In tal caso si tratta di un plugin che carica in memoria una DLL infetta. Quest’ultima effettua il download di un’altra DLL dal server remoto, ovvero della backdoor SpyGlace.
Il link era collegato ad un’immagine di righe e colonne presente all’interno di un foglio di lavoro. Quando l’utente cliccava su una cella (finta) veniva eseguito l’exploit. Durante l’analisi della patch, gli esperti di ESET hanno scoperto una seconda vulnerabilità (CVE-2024-7263) che sfrutta lo stesso plugin, in quanto è dovuta alla patch incompleta per la prima vulnerabilità.
Gli utenti che usano WPS Office devono installare almeno la versione 12.2.0.17119 rilasciata a fine maggio. Al momento sul sito ufficiale è disponibile la versione 12.2.0.17561.
Ti potrebbe interessare
1 set 2024