Kaspersky scopre gli attacchi QakBot, che sfruttano una nuova vulnerabilità zero-day di Windows

Comunicati

(Adnkronos) – Milano, 15 maggio 2024. I ricercatori di Kaspersky, Boris Larin e Mert Degirmenci, hanno identificato una nuova vulnerabilità zero-day di Windows, identificata come CVE-2024-30051. La scoperta è stata fatta durante le indagini sulla vulnerabilità Windows DWM Core Library Elevation of Privilege (CVE-2023-36033) all'inizio di aprile 2024. Il 14 maggio 2024, è stata rilasciata la patch in occasione del May Patch Tuesday di Microsoft.
Il 1° aprile 2024, un documento caricato su VirusTotal ha attirato l'attenzione dei ricercatori Kaspersky. Il file, con un nome descrittivo, indicava una potenziale vulnerabilità del sistema operativo Windows. Nonostante l'inglese approssimativo e la mancanza di dettagli su come attivare la vulnerabilità, il documento descriveva un processo di sfruttamento identico all'exploit zero-day per CVE-2023-36033, sebbene le vulnerabilità fossero diverse. Sospettando che la vulnerabilità fosse una simulazione o non sfruttabile, il team ha continuato con le indagini ma un rapido controllo ha rivelato che si trattava di una vulnerabilità zero-day reale, in grado di aumentare i livelli di privilegi del sistema. Kaspersky ha prontamente segnalato le proprie scoperte a Microsoft, che ha verificato la vulnerabilità, identificandola come CVE-2024-30051. In seguito alla segnalazione, Kaspersky ha iniziato a monitorare gli exploit e gli attacchi che utilizzano questa vulnerabilità zero-day. A metà aprile, il team ha rilevato un exploit per CVE-2024-30051, osservandone l'uso in combinazione con QakBot e altri malware, indicando che più attori delle minacce hanno accesso a questo exploit. "Abbiamo trovato il documento su VirusTotal interessante per la sua natura descrittiva e abbiamo deciso di indagare ulteriormente, il che ci ha portato a scoprire questa vulnerabilità critica zero-day", ha dichiarato Boris Larin, Principal Security Researcher di Kaspersky GReAT. "La velocità con cui gli attori delle minacce stanno integrando questo exploit nel loro arsenale sottolinea l'importanza degli aggiornamenti tempestivi e della vigilanza nella sicurezza informatica". Kaspersky prevede di rilasciare i dettagli tecnici relativi a CVE-2024-30051 quando sarà trascorso un periodo di tempo sufficiente per consentire alla maggior parte degli utenti di aggiornare i propri sistemi Windows, e ringrazia Microsoft per l’analisi e il rilascio tempestivo delle patch. I prodotti Kaspersky sono stati aggiornati per rilevare lo sfruttamento di CVE-2024-30051 e del relativo malware con i seguenti risultati: •PDM:Exploit.Win32.Generic •PDM:Trojan.Win32.Generic •UDS:DangerousObject.Multi.Generic •Trojan.Win32.Agent.gen •Trojan.Win32.CobaltStrike.gen Kaspersky ha monitorato QakBot, un sofisticato Trojan bancario, fin dalla sua scoperta nel 2007. Originariamente progettato per rubare le credenziali bancarie, QakBot si è evoluto in modo significativo, acquisendo nuove funzionalità come il furto di e-mail, il keylogging e la capacità di diffondersi e installare ransomware. Il malware è noto per i suoi frequenti aggiornamenti e perfezionamenti, che lo rendono una minaccia persistente nel panorama della sicurezza informatica. Negli ultimi anni, è stato osservato che QakBot sfrutta altre botnet, come Emotet, per la distribuzione. Informazioni su Kaspersky Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo. Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
Tweets by KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://www.linkedin.com/company/kaspersky-lab-italia

https://www.instagram.com/kasperskylabitalia/

https://t.me/KasperskyItalia

Contatto di redazione: Noesis Kaspersky Italia
[email protected]
—[email protected] (Web Info)