Home Ciberguerra Un día cero de Windows, explotado en los ataques de phishing a...

Un día cero de Windows, explotado en los ataques de phishing a gobierno local de EE.UU.

Los gobiernos europeos y los gobiernos locales de Estados Unidos han sido objeto de una campaña de phishing que utiliza documentos maliciosos en formato de texto enriquecido (RTF) diseñados para explotar una vulnerabilidad crítica de día cero de Windows conocida como Follina.

BleepingComputer tiene constancia de que los gobiernos locales de al menos dos estados de EE.UU. fueron el objetivo de esta campaña de phishing.

“Proofpoint bloqueó una supuesta campaña de phishing alineada con el estado y dirigida a menos de 10 clientes de Proofpoint (gobiernos europeos y gobiernos locales de EE.UU.) que intentaban explotar Follina/CVE_2022_30190”, revelaron los investigadores de seguridad de la empresa Proofpoint.

Los atacantes utilizaron las promesas de aumento de sueldo para atraer a los empleados a abrir los documentos de señuelo, que desplegarían un script Powershell como carga útil final.

Éste se utiliza para comprobar si el sistema es una máquina virtual, robar información de varios navegadores web, clientes de correo y servicios de archivos, y recopilar información del sistema que se exfiltra a un servidor controlado por el atacante.

Como descubrió BleepingComputer al comprobar la carga útil final de PowerShell de este ataque, los actores de la amenaza recogen grandes cantidades de información que revelan la naturaleza de ataque de reconocimiento de esta campaña, ya que los datos recogidos pueden utilizarse para el acceso inicial.

El fallo de seguridad explotado en estos ataques se rastrea como CVE-2022-30190 y fue descrito por Redmond como un fallo de ejecución remota de código de la Herramienta de Diagnóstico de Soporte de Microsoft Windows (MSDT).

CVE-2022-30190 sigue sin parchear y afecta a todas las versiones de Windows que siguen recibiendo actualizaciones de seguridad (es decir, Windows 7+ y Server 2008+).

Si se explota con éxito, este día cero puede utilizarse para ejecutar código arbitrario con los privilegios de la aplicación que llama para instalar programas, ver, cambiar, eliminar datos o crear nuevas cuentas de Windows.

Proofpoint también reveló la semana pasada que el grupo de hackers TA413, vinculado a China, está explotando la vulnerabilidad en ataques dirigidos a su objetivo favorito, la comunidad tibetana internacional.

Con información de Bleeping Computer.