Una falla de seguridad sin parchear que afecta a Microsoft Windows ha sido explotada por 11 grupos patrocinados por estados de China, Irán, Corea del Norte y Rusia como parte de campañas de robo de datos, espionaje y con fines financieros que se remontan a 2017.
La vulnerabilidad Zero-Day, identificada por Trend Micro Zero Day Initiative (ZDI) como ZDI-CAN-25373, se refiere a un problema que permite ejecutar comandos maliciosos ocultos en el equipo de la víctima mediante el uso de archivos de acceso directo de Windows o enlaces de shell (.LNK) especialmente creados.
"Los ataques aprovechan argumentos ocultos de la línea de comandos dentro de los archivos .LNK para ejecutar cargas maliciosas, lo que dificulta la detección", declararon los investigadores de seguridad Peter Girnus y Aliakbar Zahravi. "La explotación de ZDI-CAN-25373 expone a las organizaciones a riesgos significativos de robo de datos y ciberespionaje". Específicamente, esto implica rellenar los argumentos con caracteres de avance de línea (\x0A) y retorno de carro (\x0D) para evitar su detección.
Hasta la fecha, se han descubierto cerca de 1.000 artefactos de archivos .LNK que explotan ZDI-CAN-25373. La mayoría de las muestras están vinculadas a Evil Corp (Agua Asena), Kimsuky (Tierra Kumiho), Konni (Tierra Imp), Bitter (Tierra Anansi) y ScarCruft (Tierra Manticore).
De los 11 actores de amenazas patrocinados por estados que se han descubierto abusando de la falla, casi la mitad provienen de Corea del Norte. Además de explotar la falla en diversas ocasiones, el hallazgo indica una colaboración cruzada entre los diferentes grupos de amenazas que operan dentro del aparato cibernético de Pyongyang.
Los datos de telemetría indican que gobiernos, entidades privadas, organizaciones financieras, centros de investigación, proveedores de servicios de telecomunicaciones y agencias militares y de defensa de Estados Unidos, Canadá, Rusia, Corea del Sur, Vietnam y Brasil se han convertido en los principales objetivos de ataques que explotan esta vulnerabilidad.
En los ataques analizados por ZDI, los archivos .LNK actúan como vehículo de distribución para familias de malware conocidas como Lumma Stealer, GuLoader y Remcos RAT, entre otras. Entre estas campañas destaca la explotación de ZDI-CAN-25373 por parte de Evil Corp para distribuir Raspberry Robin.
Ya existe un exploit público para generar archivos LNK que apuntan a servicios no autorizados.
Microsoft, por su parte, ha clasificado el problema como de baja gravedad y no tiene previsto publicar una solución.
Fuente: THN