Un defecto de seguridad sin parpadear que afecta a Microsoft Windows ha sido explotado por 11 grupos patrocinados por el estado de China, Irán, Corea del Norte y Rusia como parte del robo de datos, el espionaje y las campañas motivadas financieramente que se remontan a 2017.
La vulnerabilidad del día cero, rastreada por la iniciativa de día cero de Trend Micro (ZDI) como Aparición-25373se refiere a un problema que permite a los malos actores ejecutar comandos maliciosos ocultos en la máquina de una víctima aprovechando archivos de acceso directo o enlace de shell (.lnk) de Windows.
«Los ataques aprovechan los argumentos de la línea de comandos ocultos dentro de los archivos .lnk para ejecutar cargas útiles maliciosas, lo que complica la detección», dijeron los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en un análisis compartido con The Hacker News. «La explotación de ZDI-Can-25373 expone a las organizaciones a riesgos significativos de robo de datos y espionaje cibernético».
Específicamente, esto implica el relleno de los argumentos con caracteres de alimentación de línea ( x0a) y retorno de carro ( x0d) para evadir la detección.
Hasta la fecha, casi 1,000 artefactos de archivo .lnk que explotan ZDI-Can-25373 se han desenterrado hasta la fecha, con la mayoría de las muestras vinculadas a Evil Corp (Water Asena), Kimsuky (Tierra Kumiho), Konni (Tierra Imp), amarga (Earth Anansi) y Scubruft (Earth Manticore).
De los 11 actores de amenaza patrocinados por el estado que se han encontrado que abusan de la falla, casi la mitad de ellos se originan en Corea del Norte. Además de explotar el defecto en varios momentos, el hallazgo sirve como una indicación de colaboración cruzada entre los diferentes grupos de amenazas que operan dentro del aparato cibernético de Pyongyang.
Los datos de telemetría indican que los gobiernos, las entidades privadas, las organizaciones financieras, los think tanks, los proveedores de servicios de telecomunicaciones y las agencias militares/de defensa ubicadas en los Estados Unidos, Canadá, Rusia, Corea del Sur, Vietnam y Brasil se han convertido en los principales objetivos de ataques que explotan la vulnerabilidad.
En los ataques disecados por ZDI, los archivos .lnk actúan como un vehículo de entrega para familias de malware conocidas como Lumma Stealer, Guloader y Remcos Rat, entre otras. Entre estas campañas notables se encuentra la explotación de ZDI-Can-25373 por Evil Corp para distribuir Raspberry Robin.
Microsoft, por su parte, ha clasificado el problema como baja severidad y no planea lanzar una solución.
«ZDI-CAN-25373 es un ejemplo de tergiversación (interfaz de usuario (UI) de información crítica (CWE-451)», dijeron los investigadores. «Esto significa que la interfaz de usuario de Windows no pudo presentar al usuario información crítica».
«Al explotar ZDI-Can-25373, el actor de amenaza puede evitar que el usuario final vea información crítica (comandos que se ejecutan) relacionados con la evaluación del nivel de riesgo del archivo».