Los investigadores de ciberseguridad han detectado múltiples campañas de explotación que aprovechan fallas ahora parcheadas en los navegadores Apple Safari y Google Chrome para infectar a usuarios móviles con malware que roba información.
“Estas campañas lanzaron exploits de n días para los cuales había parches disponibles, pero que aún serían efectivos contra dispositivos sin parches”, dijo Clement Lecigne, investigador del Grupo de Análisis de Amenazas de Google (TAG). dicho en un informe compartido con The Hacker News.
La actividad, observada entre noviembre de 2023 y julio de 2024, se destaca por entregar exploits mediante un ataque de abrevadero en los sitios web del gobierno de Mongolia, cabinet.gov(.)mn y mfa.gov(.)mn.
El conjunto de intrusiones se ha atribuido con moderada confianza a un actor de amenazas respaldado por el estado ruso cuyo nombre en código es APT29 (también conocido como Midnight Blizzard), con paralelismos observados entre los exploits utilizados en las campañas y aquellos previamente vinculados a los proveedores de vigilancia comercial (CSV) Intellexa y NSO Group, lo que indica una reutilización de exploits.
Las vulnerabilidades en el centro de las campañas se enumeran a continuación:
- CVE-2023-41993 – Una falla de WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web especialmente diseñado (corregido por Apple en iOS 16.7 y Safari 16.6.1 en septiembre de 2023)
- CVE-2024-4671 – Una falla de uso posterior a la liberación en el componente Visuals de Chrome que podría provocar la ejecución de código arbitrario (corregido por Google en la versión 124.0.6367.201/.202 de Chrome para Windows y macOS, y la versión 124.0.6367.201 para Linux en mayo de 2024)
- CVE-2024-5274 – Una falla de confusión de tipos en el motor V8 de JavaScript y WebAssembly que podría resultar en la ejecución de código arbitrario (corregido por Google en la versión 125.0.6422.112/.113 de Chrome para Windows y macOS, y la versión 125.0.6422.112 para Linux en mayo de 2024)
Se dice que las campañas de noviembre de 2023 y febrero de 2024 implicaron la vulneración de los dos sitios web del gobierno de Mongolia (ambos en el primero y el único mfa.gov(.)mn en el último) para entregar un exploit para CVE-2023-41993 por medio de un componente iframe malicioso que apunta a un dominio controlado por el actor.
“Cuando se visitaban los sitios con un iPhone o iPad, usaban un iframe para ofrecer una carga útil de reconocimiento, que realizaba comprobaciones de validación antes de descargar e implementar finalmente otra carga útil con el exploit WebKit para exfiltrar las cookies del navegador del dispositivo”, dijo Google.
La carga útil es un marco de robo de cookies que Google TAG detalló anteriormente en relación con el Explotación 2021 de un día cero de iOS (CVE-2021-1879) para recolectar cookies de autenticación de varios sitios web populares, incluidos Google, Microsoft, LinkedIn, Facebook, Yahoo, GitHub y Apple iCloud, y enviarlas a través de WebSocket a una dirección IP controlada por el atacante.
“La víctima necesitaría tener una sesión abierta en estos sitios web desde Safari para que las cookies se filtren con éxito”, señaló Google en ese momento, y agregó que “los atacantes utilizaron la mensajería de LinkedIn para atacar a funcionarios gubernamentales de países de Europa occidental enviándoles enlaces maliciosos”.
El hecho de que el módulo ladrón de cookies también señale el sitio web “webmail.mfa.gov(.)mn” sugiere que los empleados del gobierno de Mongolia eran un objetivo probable de la campaña de iOS.
El sitio web mfa.gov(.)mn fue infectado por tercera vez en julio de 2024 para inyectar código JavScript que redirigía a los usuarios de Android que usaban Chrome a un enlace malicioso que servía como cadena de explotación que combinaba las fallas CVE-2024-5274 y CVE-2024-4671 para implementar una carga útil que robaba información del navegador.
En particular, la secuencia de ataque utiliza CVE-2024-5274 para comprometer el renderizador y CVE-2024-4671 para lograr una vulnerabilidad de escape de sandbox, lo que en última instancia hace posible salir de Chrome. aislamiento del sitio protecciones y entregar un malware ladrón.
“Esta campaña envía un binario simple que elimina todos los informes de fallas de Chrome y exfiltra las siguientes bases de datos de Chrome al servidor track-adv(.)com, de manera similar a la carga útil final básica observada en las campañas de iOS anteriores”, señaló Google TAG.
El gigante tecnológico dijo además que los exploits utilizados en el ataque de noviembre de 2023 y por Intellexa en septiembre de 2023 comparten el mismo código de activación, un patrón también observado en los activadores de CVE-2024-5274 utilizados en el ataque de abrevadero de julio de 2024 y por NSO Group en mayo de 2024.
Es más, se dice que el exploit para CVE-2024-4671 comparte similitudes con un escape sandbox de Chrome anterior que se descubrió que Intellexa usaba en la naturaleza en relación con otra falla de Chrome. CVE-2021-37973que fue abordado por Google en septiembre de 2021.
Si bien actualmente no está claro cómo los atacantes lograron adquirir los exploits para las tres fallas, los hallazgos dejan muy en claro que los actores de los estados nacionales están utilizando exploits de día n que originalmente fueron utilizados como días cero por los CSV.
Sin embargo, plantea la posibilidad de que los exploits hayan sido obtenidos de un corredor de vulnerabilidades que previamente los vendió a los vendedores de spyware como días cero, un suministro constante de los cuales Mantiene la pelota en movimiento mientras Apple y Google refuerzan sus defensas.
“Además, los ataques de tipo watering hole siguen siendo una amenaza en la que se pueden utilizar exploits sofisticados para atacar a quienes visitan los sitios con regularidad, incluso en dispositivos móviles”, afirmaron los investigadores. “Los watering holes todavía pueden ser una vía eficaz para los exploits de tipo n-day que atacan masivamente a una población que aún podría utilizar navegadores sin parches”.
