La falla de día cero de Google Chrome, explotada activamente pero ahora reparada, que salió a la luz a principios de este mes, fue armada por una compañía israelí de spyware y utilizada en ataques dirigidos a periodistas en el Medio Oriente.
La firma checa de ciberseguridad Avast vinculó la explotación a Candiru (también conocido como Saito Tech), que tiene un historial de aprovechar fallas previamente desconocidas para implementar un malware de Windows denominado diabloslenguaun implante modular con capacidades similares a Pegasus.
Candiru, junto con NSO Group, Computer Security Initiative Consultancy PTE. LTD., y Positive Technologies, fueron agregados a la lista de entidades por el Departamento de Comercio de EE. UU. en noviembre de 2021 por participar en «actividades cibernéticas maliciosas».
«Específicamente, una gran parte de los ataques tuvo lugar en el Líbano, donde los periodistas se encontraban entre los objetivos», dijo el investigador de seguridad Jan Vojtěšek, quien informó sobre el descubrimiento de la falla. dijo en un escrito. «Creemos que los ataques fueron altamente dirigidos».
La vulnerabilidad en cuestión es CVE-2022-2294, corrupción de memoria en el WebRTC componente del navegador Google Chrome que podría conducir a la ejecución de shellcode. Google lo abordó el 4 de julio de 2022. Desde entonces, Apple y Microsoft han solucionado el mismo problema en los navegadores Safari y Edge.
Los hallazgos arrojan luz sobre múltiples campañas de ataque montadas por el proveedor israelí de piratería informática, que se dice que regresó con un conjunto de herramientas renovado en marzo de 2022 para apuntar a usuarios en el Líbano, Turquía, Yemen y Palestina a través de ataques de abrevadero usando cero Exploits de día para Google Chrome.
La secuencia de infección detectada en el Líbano comenzó cuando los atacantes comprometieron un sitio web utilizado por los empleados de una agencia de noticias para inyectar código JavaScript malicioso desde un dominio controlado por un actor que es responsable de redirigir a las víctimas potenciales a un servidor de explotación.
A través de esta técnica de abrevadero, se crea un perfil del navegador de la víctima, que consta de unos 50 puntos de datos, incluidos detalles como el idioma, la zona horaria, la información de la pantalla, el tipo de dispositivo, los complementos del navegador, la referencia y la memoria del dispositivo, entre otros.
Avast evaluó que se recopiló la información para garantizar que el exploit se entregara solo a los objetivos previstos. Si los piratas informáticos consideran valiosos los datos recopilados, el exploit de día cero se entrega a la máquina de la víctima a través de un canal encriptado.
El exploit, a su vez, abusa del desbordamiento del búfer del montón en WebRTC para lograr la ejecución del shellcode. Se dice que la falla de día cero se encadenó con un exploit de escape de sandbox (que nunca se recuperó) para obtener un punto de apoyo inicial, usándolo para soltar la carga útil de DevilsTongue.
Si bien el malware sofisticado es capaz de grabar la cámara web y el micrófono de la víctima, el registro de teclas, la filtración de mensajes, el historial de navegación, las contraseñas, las ubicaciones y mucho más, también se ha observado que intenta escalar sus privilegios mediante la instalación de un controlador kernel firmado vulnerable («HW.sys«) que contiene un tercer exploit de día cero.
A principios de enero, ESET explicado qué tan vulnerables son los controladores de kernel firmados: un enfoque llamado Traiga su propio controlador vulnerable (BYOVD) – pueden convertirse en puertas de enlace desprotegidas para que los actores malintencionados obtengan acceso arraigado a las máquinas con Windows.
La divulgación se produce una semana después de que Proofpoint revelara que los grupos de piratería de estados nacionales alineados con China, Irán, Corea del Norte y Turquía han estado atacando a periodistas para realizar espionaje y propagar malware desde principios de 2021.