Malware TCESB: Nuova Minaccia sfrutta Vulnerabilità ESET per Attacchi Cibernetici Devastanti!

News
Visite: 241

Nel panorama della sicurezza informatica, un nuovo malware denominato TCESB è stato individuato sfruttando una vulnerabilità del software di sicurezza ESET. Questa minaccia, associata a un gruppo di cyber attaccanti noto come ToddyCat, è emersa attraverso l'uso di una falla di sicurezza nel software di sicurezza che consente l'esecuzione non autorizzata di payload malevoli.

ToddyCat e la tecnica del DLL Search Order Hijacking

ToddyCat è un attore di minaccia che ha preso di mira diverse entità in Asia sin dal dicembre 2020. Questo gruppo è stato osservato utilizzando una tecnica chiamata DLL Search Order Hijacking per dirottare il flusso di esecuzione di un file DLL denominato "version.dll". Questa tecnica sfrutta una vulnerabilità nel ESET Command Line Scanner, che carica in modo insicuro il file DLL, consentendo agli attaccanti di eseguire una versione malevola del file anziché quella legittima.

Dettagli sulla vulnerabilità

La vulnerabilità, tracciata come CVE-2024-11859 con un punteggio CVSS di 6.8, è stata risolta da ESET nel gennaio 2025. Tuttavia, il rischio che gli attaccanti possano sfruttare questa falla per eseguire codice malevolo rimane concreto, specialmente se hanno già accesso con privilegi amministrativi al sistema.

Il malware TCESB

TCESB, un malware non documentato prima, è una versione modificata di uno strumento open-source chiamato EDRSandBlast, progettato per alterare le strutture del kernel del sistema operativo e disabilitare le routine di notifica. Queste routine sono cruciali per notificare i driver su eventi specifici, come la creazione di processi o la modifica di chiavi di registro.

La tecnica BYOVD

Un altro aspetto della minaccia è l'uso della tecnica "bring your own vulnerable driver" (BYOVD), che sfrutta un driver vulnerabile di Dell per elevare i privilegi e aggirare i meccanismi di sicurezza. Il driver in questione, DBUtilDrv2.sys, è afflitto da una vulnerabilità di escalation dei privilegi nota come CVE-2021-36276.

Raccomandazioni per la comunità della sicurezza

La comunità della sicurezza è fortemente incoraggiata a monitorare gli eventi di installazione di driver con vulnerabilità note e a controllare il caricamento di simboli di debug del kernel su dispositivi dove non è previsto il debugging. Queste misure sono essenziali per rilevare attività sospette associate a malware come TCESB.

Pin It
, ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.