ESET: кіберзлочинці активно експлуатують уразливість в ALPC-інтерфейсі планувальника завдань у ОС Windows.
ESET: кіберзлочинці активно експлуатують вразливість в ALPC-інтерфейсі планувальника завдань у Windows.
Дослідники безпеки з компанії ESET повідомили, що кіберзлочинне угруповання PowerPool активно експлуатує нещодавно розкриту вразливість в ALPC-інтерфейсі планувальника завдань в ОС Windows.
Зловмисники почали експлуатувати проблему через два дні після публікації PoC-коду. Код було впроваджено в ланцюжок експлоїтів одного зі шкідливих даних, що використовуються групуванням для зараження систем користувачів по всьому світу та розкрадання їх конфіденційних даних.
Ця вразливість дозволяє зловмиснику підвищити права з рівня Guest або User до рівня SYSTEM. За словами фахівців ESET, проблема активно експлуатується кіберзлочинцями протягом останнього тижня. Угруповання під назвою PowerPool відправляє спам, що містить шкідливе вкладення, вибраним жертвам у всьому світі. Зокрема, повідомляється про випадки інфікування пристроїв користувачів у Чилі, Німеччині, Індії, Філіппінах, Польщі, Росії, Великій Британії, США та Україні.
Коли зловмисники визначають, що заражений комп'ютер може містити конфіденційні дані, вони завантажують другий більш потужний бекдор. Потім група використовує вразливість в інтерфейсі ALPC для отримання прав адміністратора.