A segurança cibernética está quase sempre nas notícias devido à evolução das ameaças de agentes mal-intencionados, bem como às defesas que as organizações implementam para combater esses problemas. O Google emitiu um aviso hoje de que hackers norte-coreanos patrocinados pelo Estado estão tentando explorar vulnerabilidades – agora corrigidas – no Chrome.
O Google Threat Intelligence Group (TAG) informa que, em 4 de janeiro de 2022, notou a implantação de um kit de exploração no Chrome. Então, em 10 de fevereiro, ele rastreou a atividade de dois grupos apoiados pela Coreia do Norte que também exploravam o mesmo problema. Os alvos eram principalmente notícias americanas, TI, criptomoedas e publicações de fintech. O Google corrigiu com sucesso a vulnerabilidade em 14 de fevereiro. Dado o fato de que os invasores estavam todos usando o mesmo kit de exploração, a TAG especulou que todos eles podem estar usando a mesma cadeia de suprimentos de malware, e é possível que outros invasores norte-coreanos tenham acesso a ferramentas comuns. muito.
O Google diz que os meios de comunicação receberam e-mails de hackers se passando por recrutadores da Disney, Google e Oracle. Os e-mails continham links para sites falsos que eram duplicatas de portais de recrutamento como ZipRecruiter e Indeed. Enquanto isso, empresas de fintech e criptomoedas receberam links para sites infectados pertencentes a empresas de fintech legítimas. Qualquer pessoa que clicar no link receberá um iframe oculto que acionará uma exploração.
Em termos do que o exploit realmente fez, aqui está um resumo:
O kit serve nativamente ao javascript altamente ofuscado usado para impressão digital do sistema de destino. Esse script coletava todas as informações disponíveis sobre o cliente, como agente do usuário, permissão, etc. e as enviava de volta ao servidor de exploração. Se um conjunto de requisitos desconhecidos for atendido, o cliente receberá uma exploração do Chrome RCE e algum javascript adicional. Se o RCE for bem-sucedido, o javascript solicitará o próximo estágio, especificado no script como “SBX”, que é a abreviação de Sandbox Escape. Infelizmente, não conseguimos recuperar nenhum dos marcos que se seguiram ao RCE original.
Os invasores também usaram vários métodos sofisticados para ocultar suas atividades. Isso incluía abrir o iframe apenas nos intervalos de tempo em que eles esperavam que o alvo visitasse o site, URLs exclusivos em links para implementações de clique único, criptografia baseada em AES durante as fases de exploração e atomicidade do pipeline de exploração.
Embora o Google tenha corrigido a vulnerabilidade de execução remota de código (RCE) no Chrome em 14 de fevereiro, espera que, ao compartilhar esses detalhes, possa incentivar os usuários a atualizar seus navegadores para obter as atualizações de segurança mais recentes e ativar a Navegação segura aprimorada do Chrome. Os indicadores compartilhados de comprometimento (IoC) também podem ajudar outras empresas e funcionários a se protegerem de atividades semelhantes. Todo mundo que foi alvo de atacantes norte-coreanos nos últimos dois meses já foi informado.
Deixe um comentário