I ricercatori di Kaspersky, Boris Larin e Mert Degirmenci, hanno identificato una nuova vulnerabilità zero-day di Windows, identificata come CVE-2024-30051 QakBot. La scoperta è stata fatta durante le indagini sulla vulnerabilità Windows DWM Core Library Elevation of Privilege (CVE-2023-36033) all’inizio di aprile 2024.
Lo svolgersi dell’attacco QakBot
Il 1° aprile 2024, un documento caricato su VirusTotal aveva attirato l’attenzione dei ricercatori Kaspersky. Il file, con un nome descrittivo, indicava una potenziale vulnerabilità del sistema operativo Windows. Nonostante l’inglese approssimativo e la mancanza di dettagli su come attivare la vulnerabilità, il documento descriveva un processo di sfruttamento identico all’exploit zero-day per CVE-2023-36033, sebbene le vulnerabilità fossero diverse. Sospettando che la vulnerabilità fosse una simulazione o non sfruttabile, il team ha continuato con le indagini ma un rapido controllo ha rivelato che si trattava di una vulnerabilità zero-day reale, in grado di aumentare i livelli di privilegi del sistema.
Kaspersky ha prontamente segnalato le proprie scoperte a Microsoft, che ha verificato la vulnerabilità, identificandola come CVE-2024-30051. In seguito alla segnalazione, Kaspersky ha iniziato a monitorare gli exploit e gli attacchi che utilizzano questa vulnerabilità zero-day. A metà aprile, il team ha rilevato un exploit per CVE-2024-30051, osservandone l’uso in combinazione con QakBot e altri malware, indicando che più attori delle minacce hanno accesso a questo exploit.
“Abbiamo trovato il documento su VirusTotal interessante per la sua natura descrittiva e abbiamo deciso di indagare ulteriormente, il che ci ha portato a scoprire questa vulnerabilità critica zero- day”, ha dichiarato Boris Larin, Principal Security Researcher di Kaspersky GReAT. “La velocità con cui gli attori delle minacce stanno integrando questo exploit nel loro arsenale sottolinea l’importanza degli aggiornamenti tempestivi e della vigilanza nella sicurezza informatica”.
Kaspersky prevede di rilasciare i dettagli tecnici relativi a CVE-2024-30051 quando sarà trascorso un periodo di tempo sufficiente per consentire alla maggior parte degli utenti di aggiornare i propri sistemi Windows, e ringrazia Microsoft per l’analisi e il rilascio tempestivo delle patch.
I prodotti Kaspersky sono stati aggiornati per rilevare lo sfruttamento di CVE-2024-30051 e del relativo malware con i seguenti risultati:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Win32.Agent.gen
- Win32.CobaltStrike.gen
Kaspersky ha monitorato QakBot, un sofisticato Trojan bancario, fin dalla sua scoperta nel 2007. Originariamente progettato per rubare le credenziali bancarie, QakBot si è evoluto in modo significativo, acquisendo nuove funzionalità come il furto di e-mail, il keylogging e la capacità di diffondersi e installare ransomware. Il malware è noto per i suoi frequenti aggiornamenti e perfezionamenti, che lo rendono una minaccia persistente nel panorama della sicurezza informatica. Negli ultimi anni, è stato osservato che QakBot sfrutta altre botnet, come Emotet, per la distribuzione.
