Follina si sta rivelando una minaccia per gli amministratori di sistema di tutto il mondo quando emergono nuovi rapporti sulla vulnerabilità utilizzata per distribuire ladri di informazioni, trojan e ransomware.
I ricercatori di sicurezza informatica di Proofpoint hanno scoperto che noti attori di minacce come TA570 stavano utilizzando il difetto di Follina per infettare gli endpoint (si apre in una nuova scheda) con Qbot, mentre NCC Group ha scoperto che Black Basta, un noto gruppo di ransomware, ne ha ulteriormente abusato.
Qbot, noto anche come Qakbot, Quakbot o Pinkslipbot, è un trojan bancario e un ladro di informazioni in uso da oltre un decennio. Gli attori delle minacce che cercano di distribuire il ladro di informazioni in genere optano per una combinazione di phishing e sfruttamento degli exploit, inducendo le persone a visitare siti Web dannosi che, a causa di varie vulnerabilità, finiscono per scaricare il cavallo di Troia sul dispositivo.
Emerge abbastanza nero
Qbot è in grado di infliggere molti danni, salvare chiavi, esfiltrare cookie, bloccare processi, ma funge anche da contagocce per virus di seconda fase, malware (si apre in una nuova scheda) o ransomware. Questa è esattamente la mano giocata da Black Basta.
Un relativamente nuovo arrivato nello spazio del ransomware, Black Basta è stato osservato dal gruppo NCC, utilizzando Qbot per spostarsi lateralmente attraverso reti compromesse e distribuire il proprio ransomware (si apre in una nuova scheda).
Il gruppo è apparso per la prima volta nell'aprile di quest'anno, rivolgendosi direttamente all'American Dental Association, ricorda la pubblicazione. Utilizza tattiche di doppia estorsione (furto e crittografia di dati sensibili) per costringere le vittime a pagare un riscatto.
Follina, anche tracciato come CVE-2022-30190, è un difetto riscontrato nello strumento di diagnostica del supporto di Windows. Può essere utilizzato in modo improprio per eseguire codice in remoto, facendo sì che programmi come Office Word visualizzino lo strumento da un documento appositamente predisposto, una volta aperto.
Microsoft ha riconosciuto l'esistenza del difetto e ha promesso di lavorare su una soluzione. Fino a quando ciò non accade, gli attori delle minacce stanno attivamente utilizzando il difetto. Tra gli attacchi confermati ce n'è uno contro la comunità internazionale tibetana, perpetrato da un noto attore di minacce sponsorizzato dallo stato cinese chiamato TA413.
Via: Il Registro (si apre in una nuova scheda)