Un recente attacco informatico ha messo in allerta la comunità della cybersecurity, con il gruppo APT-C-60 che ha sfruttato una vulnerabilità zero-day in Kingsoft WPS Office per distribuire il backdoor SpyGlace. Questa falla di sicurezza, identificata come CVE-2024-7262, è stata scoperta e corretta, ma non prima che venisse utilizzata per attacchi mirati contro utenti cinesi e dell'Asia orientale. La vulnerabilità, con un punteggio CVSS di 9.3, deriva da una mancata validazione corretta dei percorsi dei file forniti dall'utente, permettendo agli attaccanti di caricare una libreria Windows arbitraria e ottenere l'esecuzione di codice remoto.

ESET e DBAPPSecurity

ESET e DBAPPSecurity hanno attribuito questa attività al gruppo APT-C-60, noto per il suo allineamento con la Corea del Sud e attivo dal 2021. Il gruppo ha utilizzato un exploit a un solo clic, travestito da documento di foglio di calcolo, per diffondere il malware SpyGlace. Questo file, caricato su VirusTotal nel febbraio 2024, contiene un collegamento malevolo che, una volta cliccato, innesca una sequenza di infezione a più stadi per distribuire il trojan SpyGlace. Il trojan, un file DLL chiamato TaskControler.dll, possiede capacità di furto di file, caricamento di plugin e esecuzione di comandi.

APT-C-60 ha dimostrato un alto livello di ingegnosità, incorporando un'immagine delle righe e colonne del foglio di calcolo all'interno del documento per ingannare gli utenti. Questa immagine contiene il link malevolo, rendendo il documento innocuo all'apparenza ma letale una volta cliccato. L'esploit sviluppato da APT-C-60 richiede una conoscenza approfondita dei meccanismi interni dell'applicazione e del processo di caricamento di Windows, rendendolo particolarmente sofisticato e difficile da rilevare.

ESET e ScreenShareOTR

Nel frattempo, ESET ha rivelato che un plugin di terze parti per l'applicazione di messaggistica Pidgin, chiamato ScreenShareOTR, conteneva codice malevolo per scaricare binari di seconda fase da un server di comando e controllo (C&C), portando infine all'installazione del malware DarkGate. Questo plugin, pubblicizzato come uno strumento di condivisione dello schermo che utilizza il protocollo di messaggistica sicura off-the-record (OTR), è stato rimosso dalla lista dei plugin di terze parti dopo la scoperta del codice malevolo. Gli utenti che hanno installato il plugin sono invitati a rimuoverlo immediatamente.

ESET ha inoltre scoperto che lo stesso codice backdoor malevolo di ScreenShareOTR è presente in un'app chiamata Cradle, un presunto fork open-source dell'app di messaggistica Signal. Disponibile per il download da settembre 2023, Cradle include un eseguibile ELF per Linux che scarica ed esegue comandi shell, inviando i risultati a un server remoto. Entrambi, il plugin e l'app Cradle, sono firmati con un certificato digitale valido rilasciato a una compagnia polacca, suggerendo una strategia sofisticata per la diffusione del malware.