O grupo de espionagem cibernética APT-C-60, associado à Coreia do Sul, foi identificado utilizando uma vulnerabilidade, agora corrigida, no Kingsoft WPS Office para distribuir um backdoor conhecido como SpyGlace. A falha, CVE-2024-7262 com uma pontuação CVSS de 9,3, envolve a falha na validação dos caminhos de arquivo fornecidos pelo usuário, permitindo que um atacante carregue bibliotecas à vontade e execute código remotamente. As empresas de segurança cibernética ESET e DBAPPSecurity atribuíram os ataques que entregavam malware a usuários chineses e do leste asiático a esse agente de ameaça.
O Grupo APT-C-60, ativo desde 2021, foi flagrado utilizando SpyGlace desde junho de 2022, segundo a ThreatBook de Pequim. O ataque é notável pelo uso de um arquivo de planilha com hiperlink malicioso, disfarçado sob uma imagem de linhas e colunas, que engana os usuários para que executem o exploit ao clicar. A ESET também identificou uma variante similar dessa exploração, marcada como CVE-2024-7263, e uma segunda vulnerabilidade que partilha da mesma pontuação CVSS.
Além disso, a ESET destacou a presença de um plugin malicioso de terceiros para o aplicativo de mensagens Pidgin, chamado ScreenShareOTR, que carrega código prejudicial capaz de baixar binários de um servidor de comando e controle (C&C), conduzindo à instalação do malware DarkGate. Este plugin oferece funcionalidades legítimas, como compartilhamento de tela e mensagens seguras, mas também incorporou recursos maliciosos, incluindo um keylogger e captura de tela. O plugin foi removido da lista de terceiros, e a recomendação é que os usuários o desinstalem imediatamente.
Para conteúdos exclusivos, siga as atualizações no Twitter e LinkedIn. Continue acompanhando o TecMania para se manter informado.
