29 de agosto de 2024Ravie LakshmananSeguridad del navegador / Vulnerabilidad Los investigadores de ciberseguridad han detectado múltiples campañas de explotación en la red que aprovechaban fallas ahora parcheadas en los navegadores Apple Safari y Google Chrome para infectar a los usuarios móviles con malware que roba información. «Estas campañas lanzaron exploits de n días para los que había parches disponibles, pero que aún serían efectivos contra dispositivos sin parches», dijo el investigador de Google Threat Analysis Group (TAG) Clement Lecigne en un informe compartido con The Hacker News. La actividad, observada entre noviembre de 2023 y julio de 2024, es notable por lanzar los exploits mediante un ataque de abrevadero en los sitios web del gobierno de Mongolia, cabinet.gov[.]mn y mfa.gov[.]El conjunto de intrusiones se ha atribuido con moderada confianza a un actor de amenazas respaldado por el estado ruso con nombre en código APT29 (también conocido como Midnight Blizzard), y se han observado paralelismos entre los exploits utilizados en las campañas y los vinculados previamente a los proveedores de vigilancia comercial (CSV) Intellexa y NSO Group, lo que indica una reutilización de exploits. Las vulnerabilidades en el centro de las campañas se enumeran a continuación: CVE-2023-41993: una falla de WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web especialmente diseñado (corregido por Apple en iOS 16.7 y Safari 16.6.1 en septiembre de 2023) CVE-2024-4671: una falla de uso después de la liberación en el componente Visuals de Chrome que podría provocar la ejecución de código arbitrario (corregido por Google en la versión 124.0.6367.201/.202 de Chrome para Windows y macOS, y la versión 124.0.6367.201 para Linux en mayo de 2024) CVE-2024-5274: una falla de confusión de tipos en el motor V8 JavaScript y WebAssembly que podría provocar la ejecución de código arbitrario (corregido por Google en la versión 125.0.6422.112/.113 de Chrome Se dice que las campañas de noviembre de 2023 y febrero de 2024 implicaron la vulneración de los dos sitios web del gobierno de Mongolia, ambos en el primer y único sitio web mfa.gov.[.]En este último caso, Google ha utilizado un componente iframe malicioso para explotar la vulnerabilidad CVE-2023-41993, que apunta a un dominio controlado por un actor. «Cuando se visitaban los sitios con un iPhone o un iPad, utilizaban un iframe para ofrecer una carga útil de reconocimiento, que realizaba comprobaciones de validación antes de descargar e implementar otra carga útil con el exploit WebKit para extraer las cookies del navegador del dispositivo», afirmó Google. La carga útil es un marco de robo de cookies que Google TAG detalló anteriormente en relación con la explotación en 2021 de un día cero de iOS (CVE-2021-1879) para recolectar cookies de autenticación de varios sitios web populares, incluidos Google, Microsoft, LinkedIn, Facebook, Yahoo, GitHub y Apple iCloud, y enviarlas a través de WebSocket a una dirección IP controlada por el atacante. «La víctima tendría que tener una sesión abierta en estos sitios web desde Safari para que las cookies se filtren con éxito», señaló Google en ese momento, y agregó que «los atacantes utilizaron la mensajería de LinkedIn para atacar a funcionarios gubernamentales de países de Europa occidental enviándoles enlaces maliciosos». El hecho de que el módulo ladrón de cookies también seleccione el sitio web «webmail.mfa.gov[.]mn» sugiere que los empleados del gobierno de Mongolia eran un objetivo probable de la campaña iOS. El mfa.gov[.]El sitio web mn fue infectado por tercera vez en julio de 2024 para inyectar código JavScript que redirigía a los usuarios de Android que usaban Chrome a un enlace malicioso que servía una cadena de exploits que combinaba las fallas CVE-2024-5274 y CVE-2024-4671 para implementar una carga útil que robaba información del navegador. En particular, la secuencia de ataque usa CVE-2024-5274 para comprometer el renderizador y CVE-2024-4671 para lograr una vulnerabilidad de escape de sandbox, lo que finalmente hace posible evadir las protecciones de aislamiento del sitio de Chrome y entregar un malware ladrón. «Esta campaña entrega un binario simple que elimina todos los informes de fallas de Chrome y exfiltra las siguientes bases de datos de Chrome de regreso a track-adv[.]El gigante tecnológico dijo además que los exploits utilizados en el ataque de abrevadero de noviembre de 2023 y por Intellexa en septiembre de 2023 comparten el mismo código de activación, un patrón que también se observa en los activadores de CVE-2024-5274 utilizados en el ataque de abrevadero de julio de 2024 y por NSO Group en mayo de 2024. Además, se dice que el exploit para CVE-2024-4671 comparte similitudes con un escape de sandbox de Chrome anterior que se descubrió que Intellexa usaba en la naturaleza en relación con otra falla de Chrome CVE-2021-37973, que fue abordada por Google en septiembre de 2021. Si bien actualmente no está claro cómo los atacantes lograron adquirir los exploits para las tres fallas, los hallazgos dejan muy claro que los actores de los estados nacionales están usando exploits de n-day que originalmente fueron utilizados como días cero por CSV. Sin embargo, plantea la posibilidad de que los exploits hayan sido adquiridos por un corredor de vulnerabilidades que previamente los vendió a los vendedores de spyware como ataques de día cero, un suministro constante de los cuales mantiene la pelota en movimiento mientras Apple y Google apuntalan sus defensas. «Además, los ataques de tipo watering hole siguen siendo una amenaza en la que se pueden utilizar exploits sofisticados para atacar a quienes visitan sitios regularmente, incluso en dispositivos móviles», dijeron los investigadores. «Los ataques de tipo watering hole todavía pueden ser una vía efectiva para los exploits de tipo n-day al atacar masivamente a una población que aún podría usar navegadores sin parches». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.