Follina se está convirtiendo en una gran amenaza para los administradores de sistemas en todas partes, ya que están llegando nuevos informes de la vulnerabilidad que se utiliza para distribuir ladrones de información, troyanos y ransomware.
Los investigadores de seguridad cibernética de Proofpoint encontraron actores de amenazas conocidos como TA570 que usaban la falla de Follina para infectar puntos finales (se abre en una pestaña nueva) con Qbot, mientras que NCC Group descubrió que Black Basta, un conocido grupo de ransomware, abusaba aún más de él.
Qbot, también conocido como Qakbot, Quakbot o Pinkslipbot, es un troyano bancario y un ladrón de información que ha estado en uso durante más de diez años. Los actores de amenazas que buscan distribuir el ladrón de información generalmente buscan una combinación de phishing y explotación de vulnerabilidades, engañando a las personas para que visiten sitios web maliciosos que, a través de varias vulnerabilidades, terminan descargando el troyano en el dispositivo.
Negro Basta emerge
Qbot es capaz de causar mucho daño, registrar claves, exfiltrar cookies, enganchar procesos, pero también actúa como un cuentagotas para virus de etapa dos, malware (se abre en una pestaña nueva)o ransomware. Esta es exactamente la mano que está jugando Black Basta.
Un participante relativamente nuevo en el espacio del ransomware, Black Basta fue observado por NCC Group, usando Qbot para moverse lateralmente a través de redes comprometidas e implementando su ransomware. (se abre en una pestaña nueva).
El grupo apareció por primera vez en abril de este año, yendo directamente a la Asociación Dental Estadounidense, recuerda la publicación. Utiliza tácticas de doble extorsión (robo y cifrado de datos confidenciales) para obligar a las víctimas a pagar el rescate.
Follina, también rastreada como CVE-2022-30190, es una falla que se encuentra en la herramienta de diagnóstico de soporte de Windows. Se puede abusar para ejecutar código de forma remota, haciendo que programas como Office Word muestren la herramienta desde un documento especialmente diseñado, cuando se abre.
Microsoft reconoció la existencia de la falla y prometió que estaba trabajando en una solución. Hasta que eso suceda, los actores de amenazas están utilizando activamente la falla. Entre los ataques confirmados se encuentra uno contra la comunidad tibetana interMarketingdecontenido, realizado por un conocido actor de amenazas patrocinado por el estado chino llamado TA413.
Vía: El Registro (se abre en una pestaña nueva)