Vulnerabilidade de Dia Zero no Chrome não é Corrigida por Um Mês
Os pesquisadores de segurança descobriram duas campanhas maliciosas separadas, que estavam explorando uma vulnerabilidade de dia zero no navegador Chrome. Os bugs foram explorados ativamente na natureza por cerca de um mês antes da chegada da correção.
Dois Grupos, Dois Ataques
O próprio Grupo de Análise de Ameaças do Google detectou a vulnerabilidade no início de fevereiro e o Google lançou uma correção para ela apenas quatro dias depois, junto com o relatório do bug. A vulnerabilidade foi rastreada sob o designador CVE-2022-0609 e compreendia um problema de uso após a liberação com o componente do navegador responsável pela animação. A vulnerabilidade já foi explorada ativamente.
Os pesquisadores rastrearam a atividade maliciosa relacionada ao bug com alguns agentes de ameaças chamados Operation Dream Job e Operation AppleJesus. Acredita-se que ambos sejam autores de ameaças norte-coreanos. Os ataques realizados pelos hackers foram focados principalmente em entidades americanas de vários setores, desde cripto-moedas a meios de comunicação. No entanto, os pesquisadores não descartam a possibilidade de que os ataques tenham alvos adicionais fora dos EUA.
Mesmo Kit de Exploração, Métodos Diferentes
Embora os dois agentes de ameaças usassem o mesmo kit de exploração nos seus ataques, eles usaram técnicas diferentes e atingiram entidades diferentes.
Os ataques usaram e-mails falsos de ofertas de trabalho com links maliciosos, falsificando empregadores de alto perfil e altamente desejáveis. Uma vez que a vítima clica no link malicioso em um esforço para ver a oferta de trabalho falsa completa, o navegador carrega um iframe invisível, que por sua vez implanta o kit de exploração.
A AppleJesus se concentrou em diferentes alvos, trabalhando principalmente com cripto-moedas e finanças. O kit de exploração usado no ataque era o mesmo.
Os iframes eram hospedados em páginas operadas e de propriedade dos agentes de ameaças ou em páginas de sites que os hackers haviam comprometido anteriormente com sucesso e podiam hospedar os elementos maliciosos neles.
O erro foi corrigido, mas isso ainda deixa o problema com um período de várias semanas em que os agentes da ameaça poderiam ter aproveitado a vulnerabilidade entre os sistemas que executam as versões não corrigidas do Chrome.