Follina está demostrando ser una amenaza para los administradores de sistemas de todo el mundo a medida que surgen nuevos informes sobre la vulnerabilidad que se utiliza para distribuir ladrones de información, troyanos y ransomware.

Los investigadores de seguridad cibernética de Proofpoint descubrieron que los actores de amenazas conocidos como TA570 estaban usando la falla de Follina para infectar puntos finales (se abre en una nueva pestaña) con Qbot, mientras que NCC Group descubrió que Black Basta, un conocido grupo de ransomware, abusaba aún más de él.

Qbot, también conocido como Qakbot, Quakbot o Pinkslipbot, es un troyano bancario y ladrón de información que ha estado en uso durante más de una década. Los actores de amenazas que buscan distribuir el ladrón de información generalmente optan por una combinación de phishing y explotación de vulnerabilidades, engañando a las personas para que visiten sitios web maliciosos que, a través de varias vulnerabilidades, terminan descargando el caballo de Troya en el dispositivo.

Negro Basta emerge

Qbot es capaz de infligir mucho daño, guardar claves, exfiltrar cookies, bloquear procesos, pero también actúa como un gotero para virus de segunda etapa, malware (s’opens in a new tab) o ransomware. Esta es exactamente la mano que juega Black Basta.

Un participante relativamente nuevo en el espacio del ransomware, Black Basta ha sido observado por NCC Group, usando Qbot para moverse lateralmente a través de redes comprometidas e implementando su ransomware (se abre en una nueva pestaña).

El grupo apareció por primera vez en abril de este año, dirigiéndose directamente a la Asociación Dental Estadounidense, recuerda la publicación. Utiliza tácticas de doble extorsión (robo y cifrado de datos confidenciales) para obligar a las víctimas a pagar el rescate.

Follina, también rastreada como CVE-2022-30190, es una falla que se encuentra en la herramienta de diagnóstico de soporte de Windows. Se puede abusar para ejecutar código de forma remota, haciendo que programas como Office Word muestren la herramienta desde un documento especialmente diseñado, cuando se abre.

Microsoft reconoció la existencia de la falla y prometió trabajar en una solución. Hasta que eso suceda, los actores de amenazas están utilizando activamente la falla. Entre los ataques confirmados se encuentra uno contra la comunidad tibetana internacional, llevado a cabo por un conocido actor de amenazas patrocinado por el estado chino llamado TA413.

Via: registret (öppnas i en ny flik)

Dela detta