Een spionagegroep aangeduid als 'ToddyCat' maakt gebruik van een kwetsbaarheid in een virusscanner van antivirusbedrijf ESET om malware uit te voeren, zo stelt antivirusbedrijf Kaspersky in een analyse. Zodra de aanvallers toegang tot een systeem hebben gebruiken ze een beveiligingslek in de ESET Command line scanner voor het uitvoeren van een malafide tool.

De kwetsbaarheid in kwestie betreft een probleem met het laden van dll-bestanden. De virusscanner zou eigenlijk dll-bestanden uit de systeemmap moeten laden. De kwetsbaarheid zorgt ervoor dat de virusscanner dll-bestanden uit de eigen map laadt. In dit geval kunnen aanvallers zo een malafide dll-bestand laden en daarmee verdere aanvallen uitvoeren. ESET heeft het probleem inmiddels gepatcht en maakte het bestaan van de kwetsbaarheid op 4 april bekend.

De malafide tool die de ToddyCat-groep via de dll-kwetsbaarheid op gecompromitteerde systemen start maakt gebruik van een kwetsbare Dell-driver. De tool gebruikt deze driver om kernelstructuren aan te passen die callbacks opslaan die worden gebruikt om applicaties voor system events te waarschuwen, aldus de onderzoekers. Dit moet detectie van de uiteindelijke payload voorkomen. ToddyCat heeft als doel het stelen van vertrouwelijke informatie, zo stelt Kaspersky.