La vulnerabilità zero-day di Chrome non ha patch per un mese
I ricercatori di sicurezza hanno scoperto due campagne dannose separate che stavano sfruttando una vulnerabilità zero-day nel browser Chrome. I bug sono stati attivamente sfruttati in natura per circa un mese prima dell'arrivo della patch.
Due gruppi, due attacchi
Il gruppo di analisi delle minacce di Google ha individuato la vulnerabilità all'inizio di febbraio e Google ha rilasciato una patch solo quattro giorni dopo, insieme alla segnalazione di bug. La vulnerabilità è stata rilevata con il designatore CVE-2022-0609 e comprendeva un problema di utilizzo successivo al componente del browser responsabile dell'animazione. La vulnerabilità è stata già attivamente sfruttata in natura.
I ricercatori hanno rintracciato l'attività dannosa correlata al bug con un paio di attori di minacce chiamati Operazione Dream Job e Operazione AppleJesus. Si ritiene che entrambi siano attori della minaccia nordcoreana. Gli attacchi effettuati dagli hacker si sono concentrati principalmente su entità statunitensi di diversi settori, che vanno dalle criptovalute ai media. Tuttavia, i ricercatori non escludono la possibilità che gli attacchi avessero obiettivi aggiuntivi al di fuori degli Stati Uniti.
Stesso exploit kit, metodi diversi
Anche se i due attori delle minacce hanno utilizzato lo stesso exploit kit nei loro attacchi, hanno utilizzato tecniche diverse e preso di mira entità diverse.
Gli attacchi hanno utilizzato e-mail di offerte di lavoro false contenenti collegamenti dannosi, falsificando datori di lavoro di alto profilo e altamente desiderabili. Una volta che la vittima fa clic sul collegamento dannoso nel tentativo di vedere l'intera offerta di lavoro falsa, il browser carica un iframe invisibile, che a sua volta distribuisce l'exploit kit.
AppleJesus si è concentrato su obiettivi diversi, lavorando principalmente nel settore delle criptovalute e della finanza. L'exploit kit utilizzato nell'attacco era lo stesso.
Gli iframe erano ospitati su pagine gestite e di proprietà degli attori delle minacce o su pagine di siti Web che gli hacker avevano precedentemente compromesso con successo e potevano ospitare gli elementi dannosi su di essi.
Il problema è stato corretto, ma ciò lascia ancora il problema nell'arco di diverse settimane in cui gli attori delle minacce potrebbero aver sfruttato la vulnerabilità tra i sistemi che eseguono le versioni senza patch di Chrome.