ToddyCat ha sfruttato un bug di ESET per distribuire il malware TCESB

Apr 10, 2025 Marina Londei Attacchi, In evidenza, News, RSS, Vulnerabilità 0

I ricercatori di Kaspersky hanno scoperto che ToddyCat, un gruppo APT cinese, ha sfruttato una vulnerabilità di una soluzione ESET per distribuire un nuovo malware chiamato TCESB.

A inizio 2024, durante l’analisi di alcune attività di ToddyCat, il team di Kaspersky ha individuato un file sospetto chiamato version.dll presente in numerosi dispositivi. Il file si è rivelato essere per l’appunto TCESB, un malware mai visto prima in grado di eseguire payload per eludere i tool di protezione e monitoraggio installati sul sistema.

Analizzando il payload, i ricercatori hanno scoperto che il file malevolo veniva eseguito da un eseguibile chiamato ecls, componente della soluzione Endpoint Security di ESET. Nel dettaglio, il file è uno scanner eseguito da linea di comando, il quale carica la libreria version.dll senza applicare i controlli corretti.

Il malware è in grado di eludere i controlli di sicurezza alterando il comportamento del sistema di callback del kernel usate per notificare gli eventi del sistema. TCESB installa un driver vulnerabile tramite l’interfaccia Device Manager per disabilitare la routine di notifiche.

ESET risolve il bug sfruttato da ToddyCat

La vulnerabilità sfruttata da ToddyCat, identificata come CVE-2024-11859, è stata risolta da ESET in un aggiornamento del software rilasciato lo scorso gennaio. Pochi giorni fa, il 4 aprile, la compagnia ha pubblicato un advisory in cui ha dettagliato la vulnerabilità e la catena di attacco.

“Sui sistemi dov’è installato il prodotto colpito, un attaccante può introdurre una .dll malevola in una specifica cartella ed eseguirne il contenuto eseguendo il Command Line Scanner di ESET, il quale carica la libreria invece di quella di sistema” si legge nell’advisory.

La compagnia ha inoltre specificato che “Kaspersky e i suoi ricercatori hanno seguito il processo per la divulgazione responsabile delle vulnerabilità. In accorto con il segnalatore/ricercatore, Andrei Gunkin di Kaspersky, il report è stato pubblicato sul blog tecnico Securelist.com di Kaspersky lunedì 7 aprile 2025 in seguito al completamento della build con il fix e la pubblicazione del Customer Advisory di ESET. Il post di Gunkin è un articolo tecnico che descrive come gli esperti di Kaspersky hanno scoperto una vulnerabilità in un componente della soluzione di ESET mentre analizzavano una DLL malevola usata dal gruppo APT ToddyCat nei suoi attacchi“.

Tra i prodotti colpiti ci sono NOD32 Antivirus, Internet Security, Smart Security Premium, Security Ultimate, Endpoint Antivirus ed Endpoint Security per Windows, Small Business Security e Safe Server, Mail Security per Microsoft Exchange Server e Security per Microsoft SharePoint Server. Nell’advisory sono indicate le versioni dei prodotti colpite dal bug e le indicazioni sugli aggiornamenti da applicare.

Condividi l'articolo