Kaspersky scopre gli attacchi QakBot, che sfruttano una nuova vulnerabilità zero-day di Windows
I ricercatori di Kaspersky, Boris Larin e Mert Degirmenci, hanno identificato una nuova vulnerabilità zero-day di Windows, identificata come CVE-2024-30051. La scoperta è stata fatta durante le indagini sulla vulnerabilità Windows DWM Core Library Elevation of Privilege (CVE-2023-36033) all’inizio di aprile 2024. Il 14 maggio 2024, è stata rilasciata la patch in occasione del May Patch Tuesday di Microsoft.
Il 1° aprile 2024, un documento caricato su VirusTotal ha attirato l’attenzione dei ricercatori Kaspersky. Il file, con un nome descrittivo, indicava una potenziale vulnerabilità del sistema operativo Windows. Nonostante l’inglese approssimativo e la mancanza di dettagli su come attivare la vulnerabilità, il documento descriveva un processo di sfruttamento identico all’exploit zero-day per CVE-2023-36033, sebbene le vulnerabilità fossero diverse. Sospettando che la vulnerabilità fosse una simulazione o non sfruttabile, il team ha continuato con le indagini ma un rapido controllo ha rivelato che si trattava di una vulnerabilità zero-day reale, in grado di aumentare i livelli di privilegi del sistema.
Kaspersky ha prontamente segnalato le proprie scoperte a Microsoft, che ha verificato la vulnerabilità, identificandola come CVE-2024-30051.
In seguito alla segnalazione, Kaspersky ha iniziato a monitorare gli exploit e gli attacchi che utilizzano questa vulnerabilità zero-day. A metà aprile, il team ha rilevato un exploit per CVE-2024-30051, osservandone l’uso in combinazione con QakBot e altri malware, indicando che più attori delle minacce hanno accesso a questo exploit.
“Abbiamo trovato il documento su VirusTotal interessante per la sua natura descrittiva e abbiamo deciso di indagare ulteriormente, il che ci ha portato a scoprire questa vulnerabilità critica zero-day”, ha dichiarato Boris Larin, Principal Security Researcher di Kaspersky GReAT. “La velocità con cui gli attori delle minacce stanno integrando questo exploit nel loro arsenale sottolinea l’importanza degli aggiornamenti tempestivi e della vigilanza nella sicurezza informatica”.
Kaspersky prevede di rilasciare i dettagli tecnici relativi a CVE-2024-30051 quando sarà trascorso un periodo di tempo sufficiente per consentire alla maggior parte degli utenti di aggiornare i propri sistemi Windows, e ringrazia Microsoft per l’analisi e il rilascio tempestivo delle patch.
I prodotti Kaspersky sono stati aggiornati per rilevare lo sfruttamento di CVE-2024-30051 e del relativo malware con i seguenti risultati:
⦁ PDM:Exploit.Win32.Generic
⦁ PDM:Trojan.Win32.Generic
⦁ UDS:DangerousObject.Multi.Generic
⦁ Trojan.Win32.Agent.gen
⦁ Trojan.Win32.CobaltStrike.gen
Kaspersky ha monitorato QakBot, un sofisticato Trojan bancario, fin dalla sua scoperta nel 2007. Originariamente progettato per rubare le credenziali bancarie, QakBot si è evoluto in modo significativo, acquisendo nuove funzionalità come il furto di e-mail, il keylogging e la capacità di diffondersi e installare ransomware. Il malware è noto per i suoi frequenti aggiornamenti e perfezionamenti, che lo rendono una minaccia persistente nel panorama della sicurezza informatica. Negli ultimi anni, è stato osservato che QakBot sfrutta altre botnet, come Emotet, per la distribuzione.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo. Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
