Исследователи безопасности из компании ESET сообщили , что киберпреступная группировка PowerPool активно эксплуатирует недавно раскрытую уязвимость в ALPC-интерфейсе планировщика задач в ОС Windows.

Злоумышленники начали эксплуатировать проблему спустя два дня после публикации PoC-кода. Код был внедрен в цепочку эксплоитов одного из вредоносов, используемых группировкой для заражения систем пользователей по всему миру и хищения их конфиденциальных данных.

Данная уязвимость позволяет злоумышленнику повысить права с уровня Guest или User до уровня SYSTEM. По словам специалистов ESET, проблема активно эксплуатируется киберпреступниками в течение последней недели. Группировка под названием PowerPool отправляет содержащий вредоносное вложение спам выбранным жертвам по всему миру. В частности, сообщается о случаях инфицирования устройств пользователей в Чили, Германии, Индии, Филиппинах, Польше, России, Великобритании, США и Украине.

Когда злоумышленники определяют, что зараженный компьютер может содержать конфиденциальные данные, они загружают второй, более мощный бэкдор. Затем группа использует уязвимость в ALPC-интерфейсе для получения прав администратора.

Источник: securitylab.ru