Hacker sfruttano bug nel sistema di stampa Windows per diffondere malware

Microsoft ha scoperto un nuovo malware finora sconosciuto, utilizzato dal gruppo di cybercriminali russi noto come APT28. A quanto pare, l’agente malevolo noto come GooseEgg, sfrutta un bug nel sistema di stampa di Windows.

Giusto un paio di giorni fa, i ricercatori di Microsoft Threat Intelligence hanno descritto il malware, affermando come si tratta di un launcher, capace di spianare la strada per l’installazione di backdoor sul computer della vittima e non solo. Al momento attuale, le vittime di GooseEgg sono in prevalenza situate geograficamente in Europa occidentale, Nord America e Ucraina.

Secondo quanto emerso, APT28 sta sfruttando il malware almeno da giugno 2020, sfruttando la vulnerabilità CVE-2022-38028, un bug nel sistema di stampa Windows per cui è disponibile una patch correttiva risalente a ottobre 2022. Proprio a tal proposito, Microsoft ha consigliato ai propri utenti di aggiornare il sistema operativo per evitare questo tipo di infezione.

Il sistema di stampa Windows è da tempo un obiettivo dei cybercriminali

Le indagini portate avanti da Microsoft lascerebbero intendere che il malware GooseEgg sia uno strumento esclusivo di APT28. Ciò non significa che però, in passato, alcuni agenti malevoli simili non siano stati sfruttati da altri hacker.

Nel 2021, per esempio, si è diffuso online il temibile PrintNightmare. Anche questo malware, come è facile intuire dal nome, agiva nel contesto di un bug delle stampanti in ambiente Windows. In quel caso, Microsoft ha rilasciato due apposite patch di sicurezza nell’estate 2021 per correggere due bug che consentivano l’esecuzione del codice dannoso (ovvero CVE-2021-1675 e CVE-2021-34527).

Questo modus operandi da parte dei cybercriminali, denota come il sistema di stampa su sistemi operativi non aggiornati sia una vera e propria breccia nei sistemi di sicurezza delle potenziali vittime.

D’altro canto il rapporto tra cybersecurity e stampanti in ambiente Windows è una criticità ben nota. L’adozione, come impostazione predefinita, di RPC over TCP dovrebbe comunque aver reso più sicuro questo aspetto del sistema operativo.