Google Threat Intelligence Group (TAG) informa que el 4 de enero de 2022 notó la implementación de un kit de explotación en Chrome. Luego, el 10 de febrero, rastreó la actividad de dos grupos respaldados por Corea del Norte que también estaban explotando el mismo problema. Los objetivos eran principalmente publicaciones estadounidenses de noticias, TI, criptomonedas y fintech. Google parchó con éxito la vulnerabilidad el 14 de febrero. Dado el hecho de que todos los atacantes estaban usando el mismo kit de explotación, TAG especuló que todos podrían estar usando la misma cadena de suministro de malware, y es posible que otros atacantes de Corea del Norte tengan acceso a herramientas comunes. demasiado.
Google dice que los medios de comunicación han recibido correos electrónicos de piratas informáticos que se hacen pasar por reclutadores de Disney, Google y Oracle. Los correos electrónicos contenían enlaces a sitios falsos que eran duplicados de portales de reclutamiento como ZipRecruiter e Indeed. Mientras tanto, a las empresas fintech y de criptomonedas se les enviaron enlaces a sitios web infectados propiedad de empresas fintech legítimas. Cualquier persona que haga clic en el enlace obtendrá un iframe oculto que activará un exploit.
En términos de lo que realmente hizo el exploit, aquí hay un resumen:
El kit sirve de forma nativa el javascript altamente ofuscado que se usa para tomar las huellas digitales del sistema de destino. Este script recopiló toda la información disponible sobre el cliente, como agente de usuario, permiso, etc. y luego la envió de vuelta al servidor de explotación. Si se ha cumplido un conjunto de requisitos desconocidos, se proporcionará al cliente un exploit Chrome RCE y algún javascript adicional. Si el RCE fue exitoso, el javascript solicitará la siguiente etapa, especificada en el script como «SBX», que es la abreviatura de Sandbox Escape. Lamentablemente, no hemos podido recuperar ninguno de los hitos que siguieron al RCE original.
Los atacantes también utilizaron varios métodos sofisticados para ocultar sus actividades. Esto incluía abrir el iframe solo en los intervalos de tiempo en los que esperaban que el objetivo visitara el sitio web, URL únicas en enlaces para implementaciones de un solo clic, cifrado basado en AES durante las fases de explotación y atomicidad de la canalización de explotación.
Si bien Google solucionó la vulnerabilidad de ejecución remota de código (RCE) en Chrome el 14 de febrero, espera que al compartir estos detalles, pueda alentar a los usuarios a actualizar sus navegadores para obtener las últimas actualizaciones de seguridad y habilitar la Navegación segura mejorada de Chrome. Los indicadores de compromiso (IoC) compartidos también pueden ayudar a otras empresas y al personal a protegerse de actividades similares. Todos los que han sido blanco de atacantes norcoreanos en los últimos meses ya han sido informados.
Deja una respuesta