Ciberseguridad 360 | Nuevo malware TCESB explota el escáner de seguridad de ESET

Un actor de amenazas chino, conocido por sus ciberataques en Asia, se ha aprovechado de un fallo de seguridad en el software de seguridad de ESET para distribuir un malware in�dito cuyo nombre en clave es TCESB.

"Anteriormente in�dito en los ataques ToddyCat, [TCESB] est� dise�ado para ejecutar sigilosamente cargas �tiles eludiendo las herramientas de protecci�n y monitorizaci�n instaladas en el dispositivo", afirma Kaspersky en un an�lisis publicado esta semana.

ToddyCat es el nombre dado a un grupo de actividades de amenazas que ha tenido como objetivo varias entidades en Asia, con ataques que se remontan al menos a diciembre de 2020.

El a�o pasado, el proveedor ruso de ciberseguridad detall� el uso de varias herramientas por parte del grupo de hackers para mantener un acceso persistente a entornos comprometidos y recopilar datos a "escala industrial" de organizaciones ubicadas en la regi�n Asia-Pac�fico.

Kaspersky dijo que su investigaci�n sobre los incidentes relacionados con ToddyCat a principios de 2024 desenterr� un archivo DLL sospechoso ("version.dll") en el directorio temporal en m�ltiples dispositivos. Se ha descubierto que la DLL de 64 bits, TCESB, se lanza mediante una t�cnica denominada DLL Search Order Hijacking para hacerse con el control del flujo de ejecuci�n.

Esto, a su vez, se habr�a logrado aprovechando un fallo en el ESET Command Line Scanner, que carga de forma insegura una DLL llamada �version.dll� buscando primero el archivo en el directorio actual y luego busc�ndolo en los directorios del sistema.

Vale la pena se�alar en este punto que "version.dll" es una biblioteca leg�tima de comprobaci�n de versiones e instalaci�n de archivos de Microsoft que reside en los directorios "C:\Windows\system32\" o �C:\Windows\SysWOW64\�.

Una consecuencia de explotar esta laguna es que los atacantes podr�an ejecutar su versi�n maliciosa de "version.dll" en lugar de su hom�loga leg�tima. La vulnerabilidad, rastreada como CVE-2024-11859 (puntuaci�n CVSS: 6,8), fue corregida por ESET a finales de enero de 2025 tras la revelaci�n responsable.

"La vulnerabilidad permit�a potencialmente a un atacante con privilegios de administrador cargar una biblioteca de v�nculos din�micos maliciosa y ejecutar su c�digo", dijo ESET en un aviso publicado la semana pasada. "Sin embargo, esta t�cnica no elevaba los privilegios: el atacante ya habr�a necesitado tener privilegios de administrador para realizar este ataque".

En un comunicado compartido con The Hacker News, la empresa eslovaca de ciberseguridad dijo que hab�a publicado versiones corregidas de sus productos de seguridad para consumidores, empresas y servidores para el sistema operativo Windows con el fin de solucionar la vulnerabilidad.

TCESB, por su parte, es una versi�n modificada de una herramienta de c�digo abierto llamada EDRSandBlast que incluye funciones para alterar las estructuras del n�cleo del sistema operativo para desactivar las rutinas de notificaci�n (tambi�n conocidas como callbacks), que est�n dise�adas para permitir que los controladores reciban notificaciones de eventos espec�ficos, como la creaci�n de un proceso o la configuraci�n de una clave del registro.

Para ello, TCESB aprovecha otra t�cnica conocida como BYOVD (bring your own vulnerable driver) para instalar un controlador vulnerable, un controlador Dell DBUtilDrv2.sys, en el sistema a trav�s de la interfaz del Administrador de dispositivos. El controlador DBUtilDrv2.sys es susceptible a un conocido fallo de escalada de privilegios rastreado como CVE-2021-36276.

No es la primera vez que se abusa de los controladores de Dell con fines maliciosos. En 2022, una vulnerabilidad similar de escalada de privilegios (CVE-2021-21551) en otro controlador de Dell, dbutil_2_3.sys, tambi�n fue explotada como parte de ataques BYOVD por el grupo Lazarus, vinculado a Corea del Norte, para desactivar mecanismos de seguridad.

"Una vez que el controlador vulnerable se instala en el sistema, TCESB ejecuta un bucle en el que comprueba cada dos segundos la presencia de un archivo de carga �til con un nombre espec�fico en el directorio actual - la carga �til puede no estar presente en el momento de lanzar la herramienta", dijo el investigador de Kaspersky Andrey Gunkin.

Aunque los propios artefactos de carga �til no est�n disponibles, un an�lisis m�s detallado ha determinado que est�n cifrados mediante AES-128 y que se descodifican y ejecutan en cuanto aparecen en la ruta especificada.

"Para detectar la actividad de este tipo de herramientas, se recomienda vigilar los sistemas en busca de eventos de instalaci�n de controladores con vulnerabilidades conocidas", afirma Kaspersky. "Tambi�n merece la pena vigilar los eventos asociados a la carga de s�mbolos de depuraci�n del kernel de Windows en dispositivos en los que no se espera la depuraci�n del kernel del sistema operativo".

Fuente: thehackernews