Uma espionagem cibernética alinhada à Coreia do Sul foi associada à exploração de dia zero de uma falha crítica de execução remota de código, agora corrigida, no Kingsoft WPS Workplace para implantar um backdoor personalizado chamado SpyGlace.
A atividade foi atribuída a um agente de ameaça denominado APT-C-60de acordo com as empresas de segurança cibernética ESET e DBAPPSecurity. Os ataques infectaram usuários chineses e do leste asiático com malware.
A falha de segurança em questão é CVE-2024-7262 (pontuação CVSS: 9,3), que decorre de uma falta de validação adequada dos caminhos de arquivo fornecidos pelo usuário. Essa brecha essencialmente permite que um adversário carregue uma biblioteca arbitrária do Home windows e obtenha execução remota de código.
O bug “permite a execução de código por meio do sequestro do fluxo de controle do componente do plugin WPS Workplace promecefpluginhost.exe”, disse a ESET, acrescentando que encontrou outra maneira de obter o mesmo efeito. A segunda vulnerabilidade é rastreada como CVE-2024-7263 (pontuação CVSS: 9,3).
O ataque concebido pelo APT-C-60 transforma a falha em uma exploração de um clique que assume a forma de um documento de planilha com armadilha que foi carregado no VirusTotal em fevereiro de 2024.
Especificamente, o arquivo vem com um hyperlink malicioso que, quando clicado, aciona uma sequência de infecção em vários estágios para entregar o trojan SpyGlace, um arquivo DLL chamado TaskControler.dll que vem com recursos de roubo de arquivos, carregamento de plugins e execução de comandos.
“Os desenvolvedores do exploit incorporaram uma imagem das linhas e colunas da planilha dentro da planilha para enganar e convencer o usuário de que o documento é uma planilha comum”, disse o pesquisador de segurança Romain Dumont. “O hiperlink malicioso foi vinculado à imagem para que clicar em uma célula na imagem acionasse o exploit.”
Acredita-se que o APT-C-60 esteja ativo desde 2021, com o SpyGlace detectado em ação já em junho de 2022, de acordo com o fornecedor de segurança cibernética ThreatBook, sediado em Pequim.
“Independentemente de o grupo ter desenvolvido ou comprado o exploit para o CVE-2024-7262, isso definitivamente exigiu alguma pesquisa sobre os detalhes internos do aplicativo, mas também conhecimento de como o processo de carregamento do Home windows se comporta”, disse Dumont.
“O exploit é astuto, pois é enganoso o suficiente para enganar qualquer usuário e fazê-lo clicar em uma planilha de aparência legítima, sendo também muito eficaz e confiável. A escolha do formato de arquivo MHTML permitiu que os invasores transformassem uma vulnerabilidade de execução de código em uma remota.”
A divulgação ocorre no momento em que a empresa eslovaca de segurança cibernética observou que um plugin malicioso de terceiros para o aplicativo de mensagens Pidgin chamado ScreenShareOTR (ou ss-otr) continha código responsável por baixar binários de próximo estágio de um servidor de comando e controle (C&C), levando à implantação do malware DarkGate.
“A funcionalidade do plugin, como anunciado, inclui compartilhamento de tela que usa o protocolo de mensagens seguras off-the-record (OTR). No entanto, além disso, o plugin contém código malicioso”, disse a ESET. “Especificamente, algumas versões do pidgin-screenshare.dll podem baixar e executar um script do PowerShell do servidor C&C.”
O plugin, que também contém recursos de keylogger e captura de tela, foi removido da lista de plugins de terceiros. Usuários que instalaram o plugin são recomendados a removê-lo com efeito imediato.
