Los gobiernos europeos y los gobiernos locales de EE. UU. fueron el objetivo de una campaña de phishing que utilizó documentos maliciosos en formato de texto enriquecido (RTF) diseñados para explotar una vulnerabilidad crítica de día cero de Windows conocida como Follina.
BleepingComputer está al tanto de los gobiernos locales en al menos dos estados de EE. UU. que fueron objeto de esta campaña de phishing.
“Proofpoint bloqueó una supuesta campaña de phishing alineada con el estado dirigida a menos de 10 clientes de Proofpoint (gobierno europeo y gobierno local de EE. UU.) que intentaban explotar Follina/CVE_2022_30190”, revelaron los investigadores de seguridad de la firma de seguridad empresarial Proofpoint.
Los atacantes usaron promesas de aumento salarial para atraer a los empleados para que abrieran los documentos atractivos, que desplegarían un script de Powershell como carga útil final.
Esto se usa para verificar si el sistema es una máquina virtual, robar información de múltiples navegadores web, clientes de correo y servicios de archivos, y recopilar información del sistema que se extrae a un servidor controlado por un atacante.
Como descubrió BleepingComputer mientras verificaba la carga útil final de PowerShell de este ataque, los actores de amenazas están recopilando grandes cantidades de información que revelan la naturaleza del ataque de reconocimiento de esta campaña, ya que los datos recopilados se pueden usar para el acceso inicial:
Contraseñas del navegador: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc y AVAST Browser.
Datos de otras aplicaciones: Mozilla Thunderbird, archivos de sesión de Netsarang, contactos de Windows Live Mail, contraseñas de Filezilla, archivo de configuración de ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
Información de Windows: información de la computadora, lista de nombres de usuario, información de dominio de Windows
“Si bien Proofpoint sospecha que esta campaña es de un actor alineado con el estado en función del extenso reconocimiento de Powershell y la estrecha concentración de objetivos, actualmente no lo atribuimos a un TA numerado”, dijeron los investigadores de seguridad.
La falla de seguridad explotada en estos ataques se rastrea como CVE-2022-30190 y Redmond la describió como un error de ejecución de código remoto de la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT).
CVE-2022-30190 aún no está parcheado y afecta a todas las versiones de Windows que aún reciben actualizaciones de seguridad (es decir, Windows 7+ y Server 2008+).
Si se explota con éxito, este día cero se puede usar para ejecutar código arbitrario con los privilegios de la aplicación que llama para instalar programas, ver, cambiar, eliminar datos o crear nuevas cuentas de Windows.
Proofpoint también reveló la semana pasada que el grupo de piratería TA413 vinculado a China ahora está explotando la vulnerabilidad en ataques dirigidos a su objetivo favorito, la comunidad tibetana internacional.
El investigador de seguridad MalwareHunterTeam también detectó documentos maliciosos con nombres de archivo chinos utilizados para implementar troyanos que roban contraseñas .
Sin embargo, los primeros ataques dirigidos a este día cero se detectaron hace más de un mes, utilizando amenazas de sextorsión e invitaciones a entrevistas de Sputnik Radio como cebo.
Si bien Microsoft aún no ha lanzado los parches CVE-2022-30190, CISA ha instado a los administradores y usuarios de Windows a desactivar el protocolo MSDT del que se abusó en estos ataques después de que Microsoft informara sobre la explotación activa del error en la naturaleza.
Hasta que Microsoft publique actualizaciones de seguridad oficiales, puede parchear sus sistemas contra estos ataques en curso utilizando parches no oficiales publicados por el servicio de microparches 0patch.
