Vulnerabilidade zero-day no WPS Office utilizado para ciberespionagem

Uma vulnerabilidade zero-day no WPS Office foi explorada por um grupo de ciberespionagem para distribuir malware. De acordo com a Eset, o cibergrupo em questão “está alinhado com a Coreia do Sul”.

O cibergrupo – seguido como APT-C-60 – explorou a vulnerabilidade agora identificada como CVE-2024-7262 que permite a execução remota de código e foi utilizada para distribuir um backdoor personalizado chamado SpyGlace em alvos no leste asiático.

A empresa chinesa de cibersegurança DBAPPSecurity também publicou a sua própria análise sobre a vulnerabilidade no WPS Office depois de determinar que esta vulnerabilidade tinha sido explorada para distribuir malware junto de utilizadores na China.

Esta semana, a Eset reportou que um documento malicioso que explora esta vulnerabilidade foi carregado no VirusTotal nos finais de fevereiro. Os atacantes criaram um spreadsheet aparentemente inofensivo preparado para ativar a exploração quando o utilizado carregava numa célula.

Segundo a mesma empresa de cibersegurança, a Kingsoft, que desenvolve o WPS Office, corrigiu a vulnerabilidade zero-day em março de 2024 com o lançamento da versão 12.1.0.16412. No entanto, a Eset descobriu que a Kingsoft só tinha endereçado parte do problema e a vulnerabilidade ainda podia ser explorada, tendo sido lançado uma nova correção.