La falla de d\u00eda cero de Google Chrome, explotada activamente pero ahora reparada, que sali\u00f3 a la luz a principios de este mes, fue armada por una compa\u00f1\u00eda israel\u00ed de spyware y utilizada en ataques dirigidos a periodistas en el Medio Oriente.<\/p>\n
La firma checa de ciberseguridad Avast vincul\u00f3 la explotaci\u00f3n a Candiru (tambi\u00e9n conocido como Saito Tech), que tiene un historial de aprovechar fallas previamente desconocidas para implementar un malware de Windows denominado diabloslengua<\/b>un implante modular con capacidades similares a Pegasus.<\/p>\n
Candiru, junto con NSO Group, Computer Security Initiative Consultancy PTE. LTD., y Positive Technologies, fueron agregados a la lista de entidades por el Departamento de Comercio de EE. UU. en noviembre de 2021 por participar en “actividades cibern\u00e9ticas maliciosas”.<\/p>\n
“Espec\u00edficamente, una gran parte de los ataques tuvo lugar en el L\u00edbano, donde los periodistas se encontraban entre los objetivos”, dijo el investigador de seguridad Jan Vojt\u011b\u0161ek, quien inform\u00f3 sobre el descubrimiento de la falla. dijo<\/a> en un escrito. “Creemos que los ataques fueron altamente dirigidos”.<\/p>\n La vulnerabilidad en cuesti\u00f3n es CVE-2022-2294, corrupci\u00f3n de memoria en el WebRTC<\/a> componente del navegador Google Chrome que podr\u00eda conducir a la ejecuci\u00f3n de shellcode. Google lo abord\u00f3 el 4 de julio de 2022. Desde entonces, Apple y Microsoft han solucionado el mismo problema en los navegadores Safari y Edge.<\/p>\n Los hallazgos arrojan luz sobre m\u00faltiples campa\u00f1as de ataque montadas por el proveedor israel\u00ed de pirater\u00eda inform\u00e1tica, que se dice que regres\u00f3 con un conjunto de herramientas renovado en marzo de 2022 para apuntar a usuarios en el L\u00edbano, Turqu\u00eda, Yemen y Palestina a trav\u00e9s de ataques de abrevadero usando cero Exploits de d\u00eda para Google Chrome.<\/p>\n La secuencia de infecci\u00f3n detectada en el L\u00edbano comenz\u00f3 cuando los atacantes comprometieron un sitio web utilizado por los empleados de una agencia de noticias para inyectar c\u00f3digo JavaScript malicioso desde un dominio controlado por un actor que es responsable de redirigir a las v\u00edctimas potenciales a un servidor de explotaci\u00f3n.<\/p>\n A trav\u00e9s de esta t\u00e9cnica de abrevadero, se crea un perfil del navegador de la v\u00edctima, que consta de unos 50 puntos de datos, incluidos detalles como el idioma, la zona horaria, la informaci\u00f3n de la pantalla, el tipo de dispositivo, los complementos del navegador, la referencia y la memoria del dispositivo, entre otros.<\/p>\n Avast evalu\u00f3 que se recopil\u00f3 la informaci\u00f3n para garantizar que el exploit se entregara solo a los objetivos previstos. Si los piratas inform\u00e1ticos consideran valiosos los datos recopilados, el exploit de d\u00eda cero se entrega a la m\u00e1quina de la v\u00edctima a trav\u00e9s de un canal encriptado.<\/p>\n El exploit, a su vez, abusa del desbordamiento del b\u00fafer del mont\u00f3n en WebRTC para lograr la ejecuci\u00f3n del shellcode. Se dice que la falla de d\u00eda cero se encaden\u00f3 con un exploit de escape de sandbox (que nunca se recuper\u00f3) para obtener un punto de apoyo inicial, us\u00e1ndolo para soltar la carga \u00fatil de DevilsTongue.<\/p>\n Si bien el malware sofisticado es capaz de grabar la c\u00e1mara web y el micr\u00f3fono de la v\u00edctima, el registro de teclas, la filtraci\u00f3n de mensajes, el historial de navegaci\u00f3n, las contrase\u00f1as, las ubicaciones y mucho m\u00e1s, tambi\u00e9n se ha observado que intenta escalar sus privilegios mediante la instalaci\u00f3n de un controlador kernel firmado vulnerable (“HW.sys<\/a>“) que contiene un tercer exploit de d\u00eda cero.<\/p>\n A principios de enero, ESET explicado<\/a> qu\u00e9 tan vulnerables son los controladores de kernel firmados: un enfoque llamado Traiga su propio controlador vulnerable (BYOVD<\/a>) – pueden convertirse en puertas de enlace desprotegidas para que los actores malintencionados obtengan acceso arraigado a las m\u00e1quinas con Windows. <\/p>\n La divulgaci\u00f3n se produce una semana despu\u00e9s de que Proofpoint revelara que los grupos de pirater\u00eda de estados nacionales alineados con China, Ir\u00e1n, Corea del Norte y Turqu\u00eda han estado atacando a periodistas para realizar espionaje y propagar malware desde principios de 2021.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1658521030_589_Candiru-Spyware-atrapado-explotando-Google-Chrome-Zero-Day-para-apuntar-a.jpg\" "\\"software")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n