Una campaña de espionaje vinculada a Corea del Sur aprovechó una vulnerabilidad de día cero en Kingsoft WPS Office para distribuir un malware denominado SpyGlace.
El responsable de esta actividad es un grupo de amenazas conocido como APT-C-60, según ESET y DBAPPSecurity. Los ataques han afectado a usuarios chinos y del este asiático.
La vulnerabilidad en cuestión es el CVE-2024-7262 (CVSS: 9.3), que radica en la falta de validación de las rutas de archivos ingresadas por el usuario, permitiendo la ejecución remota de código.
El error explota el componente del complemento del WPS Office llamado promecefpluginhost.exe, además de una segunda vulnerabilidad denominada CVE-2024-7263 (CVSS: 9.3).
APT-C-60 ha convertido esta falla en un exploit de un solo clic, disfrazado como una hoja de cálculo, que redirige a un documento malicioso que descarga y ejecuta el troyano SpyGlace.
Este ataque, activo desde 2021, ha sido detectado en la naturaleza desde junio de 2022. La elección de formato de archivo MHTML permite a los atacantes convertir una vulnerabilidad de ejecución de código en una remota.
En otro contexto, ESET descubrió que el complemento malicioso de terceros para la aplicación de mensajería Pidgin llamado ScreenShareOTR descargaba e instalaba malware DarkGate.
Además, un fork de código abierto de la aplicación de mensajería Signal llamado Cradle ha estado disponible para descargar desde septiembre de 2023, y contiene el mismo código malicioso de puerta trasera que ScreenShareOTR.
Este código malicioso se descarga mediante un script de PowerShell y, en la versión de Linux, se ejecuta desde un ejecutable ELF que envía comandos de shell a un servidor remoto.
Ambos, el instalador del complemento y la aplicación Cradle, están firmados con un certificado digital emitido a una empresa polaca llamada «INTERREX – SP. Z O.O.«, indicando una estrategia de propagación de malware.
Vía The Hacker News
