Замечена группировка под названием PowerPool
Эксперты ESET сообщили , что киберпреступная группировка PowerPool активно эксплуатирует недавно раскрытую уязвимость в ALPC-интерфейсе планировщика задач в ОС Windows, — говорится в их сообщении.
Так, хакеры начали эксплуатировать проблему спустя два дня после публикации PoC-кода. Код был внедрен в цепочку эксплоитов одного из вредоносов, используемых группировкой для заражения систем пользователей по всему миру и хищения их конфиденциальных данных.
Уязвимость позволяет злоумышленнику повысить права с уровня Guest или User до уровня SYSTEM. По словам специалистов ESET, проблема активно эксплуатируется киберпреступниками в течение последней недели. Группировка под названием PowerPool отправляет содержащий вредоносное вложение спам выбранным жертвам по всему миру. В частности, сообщается о случаях инфицирования устройств пользователей в Чили, Германии, Индии, Филиппинах, Польше, России, Великобритании, США и Украине.
Если злоумышленники определят, что зараженный компьютер может содержать конфиденциальные данные, они загружают второй, более мощный бэкдор. Затем группа использует уязвимость в ALPC-интерфейсе для получения прав администратора.