Una pantalla de computadora llena de unos y ceros también incluye un logotipo de Google y la palabra hackeado.

Un proveedor secreto de software de ciberataques explotó recientemente una vulnerabilidad previamente desconocida en Chrome y otros dos días cero en campañas que secretamente infectaron a periodistas y otros objetivos con software espía sofisticado, dijeron investigadores de seguridad.

CVE-2022-2294, que es cómo se rastrea la vulnerabilidad, se origina a partir de errores de corrupción de memoria en Web Real-Time Communications, un proyecto de código abierto que proporciona interfaces de programación de JavaScript para permitir capacidades de comunicación de voz, texto y video en tiempo real entre navegadores web y dispositivos. Google corrigió el error el 4 de julio después de que los investigadores de la firma de seguridad Avast le dijeron en privado a la compañía que estaba siendo explotado en ataques de abrevadero, que infectan sitios web específicos con malware con la esperanza de infectar a los usuarios frecuentes. Desde entonces, Microsoft y Apple han corregido el mismo error de WebRTC en sus navegadores Edge y Safari, respectivamente.

Avast dijo el jueves que descubrió múltiples campañas de ataque, cada una entregando el exploit a su manera a los usuarios de Chrome en Líbano, Turquía, Yemen y Palestina. Los pozos de agua fueron muy selectivos al elegir qué visitantes infectar. Después de explotar con éxito la vulnerabilidad, los sitios de Watering Hole utilizaron su acceso para instalar DevilsTongue, el nombre que Microsoft le dio el año pasado a un malware avanzado vendido por una empresa con sede en Israel llamada Candiru.

«En el Líbano, los atacantes parecen haber comprometido un sitio web utilizado por empleados de agencias de noticias», escribió el investigador de Avast, Jan Vojtěšek. «No podemos decir con certeza qué pueden tener los atacantes detrás de ellos, pero a menudo la razón por la que los atacantes persiguen a los periodistas es para espiarlos directamente y las historias en las que están trabajando, o para llegar a sus fuentes e información comprometedora». y datos sensibles que han compartido con la prensa”.

Vojtěšek dijo que Candiru mantuvo un perfil bajo luego de las revelaciones hechas por Microsoft y CitizenLab en julio pasado. El investigador dijo que la compañía resurgió de las sombras en marzo con un conjunto de herramientas actualizado. El sitio de abrevadero, que Avast no ha identificado, no solo se esforzó por seleccionar solo visitantes específicos para infectar, sino también para evitar que sus valiosas vulnerabilidades de día cero fueran descubiertas por investigadores o posibles piratas informáticos de la competencia.

Vojtěšek escribió:

Curiosamente, el sitio web comprometido contenía artefactos de ataques XSS en curso, con páginas que contenían llamadas de advertencia de funciones de JavaScript junto con palabras clave como «prueba». Suponemos que así es como los atacantes probaron la vulnerabilidad XSS antes de finalmente explotarla inyectando un código que carga javascript malicioso desde un dominio controlado por el atacante. Este código inyectado fue luego responsable de dirigir a las víctimas previstas (y solo a las víctimas previstas) al servidor de explotación a través de varios otros dominios controlados por el atacante.

El código malicioso inyectado en el sitio web comprometido carga más javascript de styleblock[.]com
Agrandar /El código malicioso inyectado en el sitio web comprometido carga más javascript de styleblock[.] com

Avast

Una vez que la víctima llega al servidor de explotación, Candiru recopila más información. Se recopila y envía a los atacantes un perfil del navegador de la víctima, que consta de alrededor de 50 puntos de datos. La información recopilada incluye el idioma de la víctima, la zona horaria, la información de la pantalla, el tipo de dispositivo, los complementos del navegador, las referencias, la memoria del dispositivo, la funcionalidad de las cookies y más. Creemos que esto se hizo para proteger aún más el exploit y garantizar que solo se entregue a las víctimas específicas. Si los datos recopilados son suficientes para el servidor de explotación, utiliza RSA-2048 para intercambiar una clave de cifrado con la víctima. Esta clave de encriptación se usa con AES-256-CBC para establecer un canal encriptado a través del cual las vulnerabilidades de día cero se envían a la víctima. Este canal encriptado se apila sobre TLS, ocultando efectivamente las vulnerabilidades incluso de aquellos que descifrarían la sesión de TLS para capturar el tráfico HTTP en texto sin formato.

A pesar de los esfuerzos por mantener en secreto CVE-2022-2294, Avast logró recuperar el código de ataque que explotó un desbordamiento de montón en WebRTC para ejecutar código de shell malicioso dentro de un proceso de renderizado. La recuperación permitió a Avast identificar la vulnerabilidad y reportarla a los desarrolladores para que pudieran solucionarla. La empresa de seguridad no pudo obtener un exploit de día cero por separado requerido para que el primer exploit escapara de la zona de pruebas de seguridad de Chrome. Eso significa que este segundo día cero sobrevivirá para luchar otro día.

Una vez instalado, DevilsTongue intentó aumentar los privilegios de su sistema instalando un controlador de Windows que contenía otra vulnerabilidad sin parchear, elevando la cantidad de días cero explotados en esta campaña a por lo menos tres. Una vez que se instaló el controlador no identificado, DevilsTongue aprovecharía la vulnerabilidad para obtener acceso al kernel, la parte más sensible de cualquier sistema operativo. Los investigadores de seguridad llaman a la tecnología BYOVD, abreviatura de «traiga su propio controlador vulnerable». Permite que el malware supere las defensas del sistema operativo, ya que la mayoría de los controladores tienen acceso automáticamente al kernel del sistema operativo.

Avast informó el error al fabricante del controlador, pero no hay indicios de que se haya lanzado un parche. En el momento de la publicación, solo Avast y otro motor antivirus han detectado la explotación del controlador.

Dado que tanto Google como Microsoft parchearon CVE-2022-2294 a principios de julio, es probable que la mayoría de los usuarios de Chrome y Edge ya estén protegidos. Sin embargo, Apple corrigió la vulnerabilidad el miércoles, lo que significa que los usuarios de Safari deben asegurarse de que sus navegadores estén actualizados.

«Si bien no podemos saber con certeza si la vulnerabilidad de WebRTC ha sido explotada por otros grupos, es una posibilidad», escribió Vojtěšek. «A veces, varios grupos descubren los días cero de forma independiente, a veces alguien vende la misma vulnerabilidad/explotación a varios grupos, etc. Pero no tenemos pruebas de que haya otro grupo que explote el mismo día cero».

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí