in

Google detecta piratas informáticos de Corea del Norte que utilizan Chrome Browser Exploit en objetivos de EE. UU.

0516cevMWUK7rEQVYv61fby 1.fit lim.size 1200x630.v1648141698

A principios de este año, los piratas informáticos de Corea del Norte estaban utilizando una vulnerabilidad crítica en el navegador Chrome para atacar a las víctimas en los EE. UU., según Google.

El jueves, la compañía proporcionó más detalles sobre la vulnerabilidad, CVE-2022-0609, que fue parcheada en Chrome el mes pasado. En ese momento, Google ofreció pocos detalles sobre la falla de «alta» gravedad, pero advirtió que estaba siendo explotada.

La compañía ahora dice que CVE-2022-0609 pudo activar la ejecución remota de código en el navegador Chrome, que los piratas informáticos probablemente usaron para cargar malware en una computadora.

Google también descubrió evidencia de que dos grupos de piratería patrocinados por el estado de Corea del Norte comenzaron a explotar la vulnerabilidad el 4 de enero. “Observamos las campañas dirigidas a organizaciones con sede en EE. Sin embargo, otras organizaciones y países pueden haber sido atacados”, escribió el investigador de seguridad de Google, Adam Weidemann, en una publicación de blog de la compañía.

El primer grupo, denominado Operation Dream Job, se dirigió a «más de 250 personas que trabajan para 10 medios de comunicación, registradores de dominios, proveedores de alojamiento web y proveedores de software diferentes», agregó. Para hacerlo, los piratas informáticos recurrieron al envío de ofertas de trabajo falsas por correo electrónico que pretendían provenir de empresas como Disney, Google y Oracle.

Ejemplo de la página de phishing

Estos correos electrónicos contenían enlaces que falsificaban sitios web legítimos de búsqueda de empleo, incluidos Indeed, ZipRecruiter y la página de empleo de Disney. Pero en realidad, los sitios web fueron trampas explosivas para activar la vulnerabilidad CVE-2022-0609 en Chrome.

El segundo grupo norcoreano, denominado Operation AppleJeus, intentó piratear a más de 85 usuarios en las industrias de criptomonedas y fintech. Esto implicó comprometer al menos dos sitios web reales de empresas fintech y usar iframes ocultos dentro de las páginas para explotar la vulnerabilidad de Chrome. En otros casos, el grupo usó sitios de criptomonedas falsos para realizar el ataque.

Ejemplo del sitio web falso

El ataque en sí, llamado kit de explotación, contenía varias etapas, la primera de las cuales intentaba tomar las huellas dactilares del hardware de la víctima mediante la recopilación de información sobre las especificaciones y la configuración. «Si se cumpliera un conjunto de requisitos desconocidos, el cliente recibiría un exploit Chrome RCE (ejecución remota de código) y algún javascript adicional», dijo Weidemann.

“Si el RCE tuvo éxito, JavaScript solicitaría la siguiente etapa a la que se hace referencia en el script como ‘SBX’, un acrónimo común para Sandbox Escape. Desafortunadamente no pudimos recuperar ninguna de las etapas que siguieron al RCE inicial”, agregó. Como resultado, no está del todo claro qué pretendía hacer el ataque, pero investigaciones anteriores han demostrado que los piratas informáticos de Corea del Norte tienen apetito por robar criptomonedas.

Recomendado por Nuestros Editores

Los piratas informáticos también incorporaron varias medidas de seguridad en sus páginas web maliciosas para evitar que los investigadores de seguridad descubrieran todo el kit de explotación. Esto incluía servir el ataque a través de sitios web maliciosos solo durante horas específicas del día. Algunas de las campañas de correo electrónico de phishing de los piratas informáticos también venían con identificaciones únicas en los enlaces, que podrían haberse utilizado para imponer «una política de un solo clic para cada enlace».

Además, los piratas informáticos de Corea del Norte pueden haber estado abusando de las vulnerabilidades en otros navegadores para atacar objetivos. “Aunque recuperamos un Chrome RCE, también encontramos evidencia en la que los atacantes verificaron específicamente a los visitantes que usaban Safari en macOS o Firefox (en cualquier sistema operativo) y los dirigieron a enlaces específicos en servidores de explotación conocidos. No recuperamos ninguna respuesta de esas URL”, dijo Weidemann.

La buena noticia es que Google parchó la vulnerabilidad el 14 de febrero, cuatro días después de descubrirla. Sin embargo, los piratas informáticos de Corea del Norte aún intentaron explotar la falla del navegador incluso después de que se implementó el parche. Para proteger aún más a los usuarios, Google dijo que envió «alertas de atacante respaldadas por el gobierno a todos los usuarios de Gmail y Workspace para notificarles sobre la actividad».

“Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro compartida, de ahí el uso del mismo kit de explotación, pero cada uno opera con un conjunto de misiones diferente y despliega diferentes técnicas”, agregó Weidemann. “Es posible que otros atacantes respaldados por el gobierno de Corea del Norte tengan acceso al mismo kit de explotación”.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }