Proveedor de servicios de seguridad BitDefender publicado información sobre una vulnerabilidad de instalación de prueba de DLL de OneDrive que se explota en la naturaleza. Según la información, los actores malintencionados explotan la vulnerabilidad para extraer criptomonedas en máquinas explotadas con éxito.
El secuestro de DLL es una ocurrencia común en Windows. Windows utiliza un sistema de prioridad para determinar desde qué ubicación se carga un archivo DLL, cuando una aplicación no especifica una ruta completa. Los ataques de secuestro de DLL abusan de ese sistema para plantar archivos maliciosos en una ubicación con mayor prioridad. Luego, el programa cargará la DLL maliciosa en lugar del archivo DLL legítimo.
En el caso de la campaña maliciosa OneDrive, los atacantes hacen uso de ese concepto para plantar un archivo DLL malicioso en la carpeta del usuario en el sistema. Específicamente, un archivo DLL falso de secure32.dll se escribe en %LocalAppData%\Microsoft\OneDrive\ en un proceso no elevado. Esta biblioteca maliciosa de enlaces dinámicos es cargada por los dos procesos de OneDrive, OneDrive.exe y OneDriveStandaloneUpdater.exe.
El proceso de actualización de OneDrive ya está programado para ejecutarse una vez al día, lo que garantiza que el malware se cargue al menos una vez al día en el sistema, siempre que el software antivirus no lo detecte. Los actores maliciosos también están agregando OneDrive.exe al inicio del sistema operativo para «hacer que la persistencia sea aún más robusta».
Cuando la DLL falsa se carga por primera vez, descarga el software de minería de criptomonedas al sistema de PC infectado para ejecutarlo.
«Una vez cargado en uno de los procesos de OneDrive, el falso secur32.dll descarga el software de minería de criptomonedas de código abierto y lo inyecta en los procesos legítimos de Windows».
BitDefender señala que, si bien el ataque se limita actualmente a la minería de criptomonedas, los atacantes tienen opciones para cambiar a otros ataques maliciosos, incluidas las implementaciones de ransomware o spyware.
La compañía de seguridad recomienda que OneDrive se instale «por máquina» en lugar de «por usuario» en las máquinas con Windows para evitar la vulnerabilidad de secuestro de DLL. Los atacantes necesitan penetrar con éxito en las PC con Windows en primer lugar para guardar el archivo DLL malicioso en el directorio de usuarios de OneDrive. Una protección confiable contra amenazas maliciosas, así como el uso del sentido común, deben prevenir el ataque en primer lugar.
Los usuarios y administradores de Windows pueden verificar la instalación de OneDrive en las PC con Windows para averiguar si el archivo DLL malicioso ya se ha colocado en el sistema. Para hacerlo, cargue %LocalAppData%\Microsoft\OneDrive\ en el Explorador de archivos y busque el archivo en el directorio de OneDrive.