La vulnerabilidad de día cero de Chrome no se corrige durante un mes
Los investigadores de seguridad descubrieron dos campañas maliciosas separadas que explotaban una vulnerabilidad de día cero en el navegador Chrome. Los errores se explotaron activamente en la naturaleza durante aproximadamente un mes antes de que llegara el parche.
Dos grupos, dos ataques
El propio Grupo de análisis de amenazas de Google detectó la vulnerabilidad a principios de febrero y Google lanzó un parche solo cuatro días después, junto con el informe de error. La vulnerabilidad se rastreó con el designador CVE-2022-0609 y comprendía un problema de uso posterior a la liberación con el componente del navegador responsable de la animación. La vulnerabilidad ya se explotó activamente en la naturaleza.
Los investigadores rastrearon la actividad maliciosa relacionada con el error con un par de actores de amenazas llamados Operation Dream Job y Operation AppleJesus. Se cree que ambos son actores de amenazas de Corea del Norte. Los ataques llevados a cabo por los piratas informáticos se centraron principalmente en entidades estadounidenses de varios sectores, que van desde las criptomonedas hasta los medios de comunicación. Sin embargo, los investigadores no descartan la posibilidad de que los ataques tuvieran objetivos adicionales fuera de los EE. UU.
Mismo kit de explotación, diferentes métodos
Aunque los dos actores de amenazas usaron el mismo kit de explotación en sus ataques, usaron diferentes técnicas y se dirigieron a diferentes entidades.
Los ataques utilizaron correos electrónicos de ofertas de trabajo falsos con enlaces maliciosos, suplantando a empleadores de alto perfil y altamente deseables. Una vez que la víctima hace clic en el enlace malicioso en un esfuerzo por ver la oferta de trabajo falsa completa, el navegador carga un iframe invisible, que a su vez implementa el kit de explotación.
AppleJesus se centró en diferentes objetivos, principalmente trabajando en criptografía y finanzas. El kit de explotación utilizado en el ataque fue el mismo.
Los iframes estaban alojados en páginas que eran operadas y propiedad de los actores de amenazas, o en páginas de sitios web que los piratas informáticos habían comprometido previamente con éxito y podían alojar elementos maliciosos en ellos.
El problema ha sido reparado, pero eso aún deja el problema con el lapso de varias semanas en que los actores de amenazas podrían haber aprovechado la vulnerabilidad entre los sistemas que ejecutan las versiones sin parches de Chrome.