Un equipo de investigadores de Kaspersky ha descubierto y reportado una nueva vulnerabilidad zero-day en el sistema operativo Windows, la cual permite a los atacantes escalar sus privilegios y tomar control completo del sistema. La vulnerabilidad, identificada como CVE-2024-30051, afecta a la biblioteca DWM Core Library de Windows y fue descubierta a principios de abril de 2024.
Descubrimiento y análisis
El equipo de Kaspersky identificó la vulnerabilidad a través de un documento subido a VirusTotal el 1 de abril de 2024. El documento, a pesar de contener errores gramaticales, describía un proceso de explotación similar a un exploit zero-day conocido para CVE-2023-36033.
Si bien inicialmente se sospechaba que la vulnerabilidad podría ser ficticia o inexplotable, el equipo de Kaspersky profundizó en la investigación y confirmó que se trataba de una nueva vulnerabilidad zero-day que podía ser utilizada para escalar privilegios en el sistema. Kaspersky informó inmediatamente a Microsoft sobre el hallazgo, quien a su vez verificó la vulnerabilidad y le asignó la identificación CVE-2024-30051.
Explotación y actores de amenazas
Tras la divulgación de la vulnerabilidad, Kaspersky comenzó a monitorear activamente la situación y, a mediados de abril, detectó un exploit para CVE-2024-30051. Se observó que este exploit era utilizado junto con QakBot y otros malware, lo que indica que múltiples actores de amenazas tienen acceso a la vulnerabilidad.
QakBot: un troyano bancario persistente
Kaspersky ha estado rastreando QakBot, un sofisticado troyano bancario, desde su descubrimiento en 2007. Originalmente diseñado para robar credenciales bancarias, QakBot ha evolucionado significativamente a lo largo de los años, incorporando nuevas funcionalidades como el robo de correos electrónicos, keylogging y la capacidad de propagarse e instalar ransomware. El malware es conocido por sus frecuentes actualizaciones y mejoras, lo que lo convierte en una amenaza persistente en el panorama de la ciberseguridad. En los últimos años, se ha observado que QakBot utiliza otros botnets, como Emotet, para su distribución.
Descubrimiento y análisis
El equipo de Kaspersky identificó la vulnerabilidad a través de un documento subido a VirusTotal el 1 de abril de 2024. El documento, a pesar de contener errores gramaticales, describía un proceso de explotación similar a un exploit zero-day conocido para CVE-2023-36033.
Si bien inicialmente se sospechaba que la vulnerabilidad podría ser ficticia o inexplotable, el equipo de Kaspersky profundizó en la investigación y confirmó que se trataba de una nueva vulnerabilidad zero-day que podía ser utilizada para escalar privilegios en el sistema. Kaspersky informó inmediatamente a Microsoft sobre el hallazgo, quien a su vez verificó la vulnerabilidad y le asignó la identificación CVE-2024-30051.
Explotación y actores de amenazas
Tras la divulgación de la vulnerabilidad, Kaspersky comenzó a monitorear activamente la situación y, a mediados de abril, detectó un exploit para CVE-2024-30051. Se observó que este exploit era utilizado junto con QakBot y otros malware, lo que indica que múltiples actores de amenazas tienen acceso a la vulnerabilidad.
QakBot: un troyano bancario persistente
Kaspersky ha estado rastreando QakBot, un sofisticado troyano bancario, desde su descubrimiento en 2007. Originalmente diseñado para robar credenciales bancarias, QakBot ha evolucionado significativamente a lo largo de los años, incorporando nuevas funcionalidades como el robo de correos electrónicos, keylogging y la capacidad de propagarse e instalar ransomware. El malware es conocido por sus frecuentes actualizaciones y mejoras, lo que lo convierte en una amenaza persistente en el panorama de la ciberseguridad. En los últimos años, se ha observado que QakBot utiliza otros botnets, como Emotet, para su distribución.