Descubre nuevos culpables que atacan Windows 10

Según Kaspersky, los ataques, coordinados por PuzzleMaker, se descubrieron por primera vez a mediados de abril, cuando las redes de las primeras víctimas se vieron comprometidas.

La cadena de día cero explota una vulnerabilidad de ejecución remota de código en el motor de JavaScript Google Chrome V8 para obtener acceso a los sistemas de destino.

Luego, PuzzleMaker usa mejoras de explotación mejoradas personalizadas para comprometer las últimas versiones de Windows 10 al explotar una vulnerabilidad en la vulnerabilidad de divulgación del kernel de Windows (CVE-2021-31955) y un error al escalar los privilegios NTFS de Windows (CVE) -2021-31956), corregido en la corrección del martes de junio.

Foto 1 de Detectando nuevos culpables atacando Windows 10

Los atacantes están abusando de la función de notificación de Windows (WNF) junto con la vulnerabilidad CVE-2021-31956 para ejecutar módulos de malware con privilegios del sistema en sistemas Windows 10 comprometidos.

"Cuando los atacantes usan vulnerabilidades de Chrome y Windows para anclar el sistema de destino, el módulo de etapa carga y ejecuta malware más avanzado desde un servidor remoto. Luego, el cuentagotas instala dos archivos ejecutables disfrazados de archivos legítimos en el sistema operativo Microsoft Windows. El segundo de estos dos archivos ejecutables es un módulo de shell remoto que puede descargar y cargar archivos, crear un proceso, dormir durante un período de tiempo y eliminarse del sistema infectado, dijeron los investigadores.

Este no es el primer exploit de Chrome de día cero que se vuelve popular en los últimos meses.

Project Zero, el equipo de seguimiento de errores de día cero de Google, reveló una operación a gran escala en la que un grupo de piratas informáticos utilizó 11 vulnerabilidades de día cero para atacar a usuarios de Windows, iOS y Android en un año.

Los ataques tuvieron lugar en dos campañas separadas, en febrero y octubre de 2020, con al menos docenas de sitios web que alojan dos servidores operativos, cada uno dirigido a usuarios de iOS y Windows o Android.

Los investigadores de Project Zero recopilaron una gran cantidad de información de los servidores de excavación utilizados en ambas campañas, que incluyen:

  1. renderer explota para cuatro errores de Chrome, uno de los cuales sigue siendo un error de día cero en el momento del descubrimiento
  2. dos exploits para evitar el sandbox explotan tres vulnerabilidades de día cero en Windows
  3. El paquete de escalada de privilegios incluye exploits conocidos públicamente para vulnerabilidades de n-day para versiones anteriores de Android
  4. El sistema operativo completo destinado a Windows 10 está completamente parcheado con Google Chrome
  5. dos circuitos parciales dirigidos a dos dispositivos Android diferentes con parches completos que ejecutan Android 10 usando Google Chrome y el navegador Samsung
  6. varios exploits RCE para iOS 11-13 y un exploit de escalada de privilegios para iOS 13 (con exploits disponibles en iOS 14.1)

Boris Larin, investigador sénior de seguridad del Grupo de análisis e investigación global (GReAT), dijo: “En general, a fines de año, vimos varias olas de actividad de alta amenaza. El nivel está guiado por hazañas de día cero. Esto nos recuerda que las vulnerabilidades de día cero continúan siendo el método más efectivo para infectar objetivos".

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!