Хакеры с помощью рассылок крадут данные в ОС Windows

Замечена группировка под названием PowerPool

Эксперты ESET сообщили , что киберпреступная группировка PowerPool активно эксплуатирует недавно раскрытую уязвимость в ALPC-интерфейсе планировщика задач в ОС Windows, — говорится в их сообщении.

Так, хакеры начали эксплуатировать проблему спустя два дня после публикации PoC-кода. Код был внедрен в цепочку эксплоитов одного из вредоносов, используемых группировкой для заражения систем пользователей по всему миру и хищения их конфиденциальных данных.

Уязвимость позволяет злоумышленнику повысить права с уровня Guest или User до уровня SYSTEM. По словам специалистов ESET, проблема активно эксплуатируется киберпреступниками в течение последней недели. Группировка под названием PowerPool отправляет содержащий вредоносное вложение спам выбранным жертвам по всему миру. В частности, сообщается о случаях инфицирования устройств пользователей в Чили, Германии, Индии, Филиппинах, Польше, России, Великобритании, США и Украине.

Если злоумышленники определят, что зараженный компьютер может содержать конфиденциальные данные, они загружают второй, более мощный бэкдор. Затем группа использует уязвимость в ALPC-интерфейсе для получения прав администратора.

*

Top