{"id":1339133,"date":"2024-08-29T20:24:22","date_gmt":"2024-08-29T20:24:22","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-rusos-aprovechan-fallos-de-safari-y-chrome-en-ciberataque-de-alto-perfil\/"},"modified":"2024-08-29T20:24:27","modified_gmt":"2024-08-29T20:24:27","slug":"hackers-rusos-aprovechan-fallos-de-safari-y-chrome-en-ciberataque-de-alto-perfil","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-rusos-aprovechan-fallos-de-safari-y-chrome-en-ciberataque-de-alto-perfil\/","title":{"rendered":"Hackers rusos aprovechan fallos de Safari y Chrome en ciberataque de alto perfil"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad del navegador \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-rusos-aprovechan-fallos-de-Safari-y-Chrome-en-ciberataque.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han detectado m\u00faltiples campa\u00f1as de explotaci\u00f3n que aprovechan fallas ahora parcheadas en los navegadores Apple Safari y Google Chrome para infectar a usuarios m\u00f3viles con malware que roba informaci\u00f3n.<\/p>\n<p>&#8220;Estas campa\u00f1as lanzaron exploits de n d\u00edas para los cuales hab\u00eda parches disponibles, pero que a\u00fan ser\u00edan efectivos contra dispositivos sin parches&#8221;, dijo Clement Lecigne, investigador del Grupo de An\u00e1lisis de Amenazas de Google (TAG). <a rel=\"nofollow noopener\" href=\"https:\/\/blog.google\/threat-analysis-group\/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits\/\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>La actividad, observada entre noviembre de 2023 y julio de 2024, se destaca por entregar exploits mediante un ataque de abrevadero en los sitios web del gobierno de Mongolia, cabinet.gov.[.]mn y mfa.gov[.]Minnesota.<\/p>\n<p>El conjunto de intrusiones se ha atribuido con moderada confianza a un actor de amenazas respaldado por el estado ruso con nombre en c\u00f3digo APT29 (tambi\u00e9n conocido como Midnight Blizzard), y se han observado paralelismos entre los exploits utilizados en las campa\u00f1as y los vinculados previamente a los proveedores de vigilancia comercial (CSV) Intellexa y NSO Group, lo que indica una reutilizaci\u00f3n de exploits.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-c-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Las vulnerabilidades en el centro de las campa\u00f1as se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li><strong>CVE-2023-41993<\/strong> &#8211; Una falla de WebKit que podr\u00eda provocar la ejecuci\u00f3n de c\u00f3digo arbitrario al procesar contenido web especialmente dise\u00f1ado (corregido por Apple en iOS 16.7 y Safari 16.6.1 en septiembre de 2023) <\/li>\n<\/ul>\n<ul>\n<li><strong>CVE-2024-4671<\/strong> &#8211; Una falla de uso posterior a la liberaci\u00f3n en el componente Visuals de Chrome que podr\u00eda provocar la ejecuci\u00f3n de c\u00f3digo arbitrario (corregido por Google en la versi\u00f3n 124.0.6367.201\/.202 de Chrome para Windows y macOS, y la versi\u00f3n 124.0.6367.201 para Linux en mayo de 2024)<\/li>\n<\/ul>\n<ul>\n<li><strong>CVE-2024-5274<\/strong> &#8211; Una falla de confusi\u00f3n de tipos en el motor V8 de JavaScript y WebAssembly que podr\u00eda resultar en la ejecuci\u00f3n de c\u00f3digo arbitrario (corregido por Google en la versi\u00f3n 125.0.6422.112\/.113 de Chrome para Windows y macOS, y la versi\u00f3n 125.0.6422.112 para Linux en mayo de 2024)<\/li>\n<\/ul>\n<p>Se dice que las campa\u00f1as de noviembre de 2023 y febrero de 2024 implicaron la vulneraci\u00f3n de los dos sitios web del gobierno de Mongolia, tanto el primero como el \u00fanico, mfa.gov.[.]mn en este \u00faltimo: entregar un exploit para CVE-2023-41993 por medio de un componente iframe malicioso que apunta a un dominio controlado por el actor.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1724963061_303_Hackers-rusos-aprovechan-fallos-de-Safari-y-Chrome-en-ciberataque.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1724963061_303_Hackers-rusos-aprovechan-fallos-de-Safari-y-Chrome-en-ciberataque.png\" alt=\"Hackers rusos\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Hackers rusos\"\/><\/a><\/div>\n<p>&#8220;Cuando se visitaban los sitios con un iPhone o iPad, usaban un iframe para ofrecer una carga \u00fatil de reconocimiento, que realizaba comprobaciones de validaci\u00f3n antes de descargar e implementar finalmente otra carga \u00fatil con el exploit WebKit para exfiltrar las cookies del navegador del dispositivo&#8221;, dijo Google.<\/p>\n<p>La carga \u00fatil es un marco de robo de cookies que Google TAG detall\u00f3 previamente en relaci\u00f3n con la explotaci\u00f3n de 2021 de un d\u00eda cero de iOS (CVE-2021-1879) para recolectar cookies de autenticaci\u00f3n de varios sitios web populares, incluidos Google, Microsoft, LinkedIn, Facebook, Yahoo, GitHub y Apple iCloud, y enviarlas a trav\u00e9s de WebSocket a una direcci\u00f3n IP controlada por el atacante.<\/p>\n<p>&#8220;La v\u00edctima necesitar\u00eda tener una sesi\u00f3n abierta en estos sitios web desde Safari para que las cookies se filtren con \u00e9xito&#8221;, se\u00f1al\u00f3 Google en ese momento, y agreg\u00f3 que &#8220;los atacantes utilizaron la mensajer\u00eda de LinkedIn para atacar a funcionarios gubernamentales de pa\u00edses de Europa occidental envi\u00e1ndoles enlaces maliciosos&#8221;.<\/p>\n<p>El hecho de que el m\u00f3dulo ladr\u00f3n de cookies tambi\u00e9n se\u00f1ale el sitio web &#8220;webmail.mfa.gov[.]&#8221;mn&#8221; sugiere que los empleados del gobierno de Mongolia eran un objetivo probable de la campa\u00f1a de iOS.<\/p>\n<p>El mfa.gov[.]El sitio web mn fue infectado por tercera vez en julio de 2024 para inyectar c\u00f3digo JavScript que redirig\u00eda a los usuarios de Android que usaban Chrome a un enlace malicioso que serv\u00eda una cadena de explotaci\u00f3n que combinaba las fallas CVE-2024-5274 y CVE-2024-4671 para implementar una carga \u00fatil que robaba informaci\u00f3n del navegador.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1724963061_101_Hackers-rusos-aprovechan-fallos-de-Safari-y-Chrome-en-ciberataque.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1724963061_101_Hackers-rusos-aprovechan-fallos-de-Safari-y-Chrome-en-ciberataque.png\" alt=\"Hackers rusos\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Hackers rusos\"\/><\/a><\/div>\n<p>En particular, la secuencia de ataque utiliza CVE-2024-5274 para comprometer el renderizador y CVE-2024-4671 para lograr una vulnerabilidad de escape de sandbox, lo que en \u00faltima instancia hace posible salir de Chrome. <a rel=\"nofollow noopener\" href=\"https:\/\/www.chromium.org\/Home\/chromium-security\/site-isolation\/\" target=\"_blank\">aislamiento del sitio<\/a> protecciones y entregar un malware ladr\u00f3n.<\/p>\n<p>&#8220;Esta campa\u00f1a ofrece un binario simple que elimina todos los informes de fallas de Chrome y extrae las siguientes bases de datos de Chrome para volver a track-adv[.]&#8221;servidor com, similar a la carga \u00fatil final b\u00e1sica vista en las campa\u00f1as iOS anteriores&#8221;, se\u00f1al\u00f3 Google TAG.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1723190360_817_El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El gigante tecnol\u00f3gico dijo adem\u00e1s que los exploits utilizados en el ataque de agujero de agua de noviembre de 2023 y por Intellexa en septiembre de 2023 comparten el mismo c\u00f3digo de activaci\u00f3n, un patr\u00f3n tambi\u00e9n observado en los activadores de CVE-2024-5274 utilizados en el ataque de agujero de agua de julio de 2024 y por NSO Group en mayo de 2024.<\/p>\n<p>Es m\u00e1s, se dice que el exploit para CVE-2024-4671 comparte similitudes con un escape sandbox de Chrome anterior que se descubri\u00f3 que Intellexa usaba en la naturaleza en relaci\u00f3n con otra falla de Chrome, CVE-2021-37973, que fue abordada por Google en septiembre de 2021.<\/p>\n<p>Si bien actualmente no est\u00e1 claro c\u00f3mo los atacantes lograron adquirir los exploits para las tres fallas, los hallazgos dejan muy en claro que los actores de los estados nacionales est\u00e1n utilizando exploits de d\u00eda n que originalmente fueron utilizados como d\u00edas cero por los CSV.<\/p>\n<p>Sin embargo, esto plantea la posibilidad de que los exploits hayan sido obtenidos de un corredor de vulnerabilidades que previamente los vendi\u00f3 a los proveedores de spyware como d\u00edas cero, un suministro constante de los cuales mantiene la pelota en movimiento mientras Apple y Google refuerzan sus defensas.<\/p>\n<p>&#8220;Adem\u00e1s, los ataques de tipo watering hole siguen siendo una amenaza en la que se pueden utilizar exploits sofisticados para atacar a quienes visitan los sitios con regularidad, incluso en dispositivos m\u00f3viles&#8221;, afirmaron los investigadores. &#8220;Los watering holes todav\u00eda pueden ser una v\u00eda eficaz para los exploits de tipo n-day que atacan masivamente a una poblaci\u00f3n que a\u00fan podr\u00eda utilizar navegadores sin parches&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/russian-hackers-exploit-safari-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 de agosto de 2024\ue804Ravie LakshmananSeguridad del navegador \/ Vulnerabilidad Los investigadores de ciberseguridad han detectado m\u00faltiples campa\u00f1as<\/p>\n","protected":false},"author":1,"featured_media":1339134,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,657,38098,4661,35379,3265,4664,15566,6369,4667,239182,4654,239508,4658,4659,4653,12169,690,928,246983,4665,246984,246982,239484],"class_list":["post-1339133","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alto","tag-aprovechan","tag-ataques-ciberneticos","tag-chrome","tag-ciberataque","tag-como-hackear","tag-fallos","tag-hackers","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-perfil","tag-rusos","tag-safari","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1339133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1339133"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1339133\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1339134"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1339133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1339133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1339133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}