Un ciberataque descubierto recientemente por parte del famoso grupo Lazarus, incluido su subgrupo BlueNoroff, ha expuesto una nueva vulnerabilidad en Google Chrome. El grupo utilizó un exploit de día cero para tomar el control total de los sistemas infectados, lo que marca la última de una larga serie de campañas sofisticadas del actor de amenazas respaldado por Corea del Norte. La campaña se descubrió cuando Kaspersky Total Security detectó una nueva instancia del malware Manuscrypt en una computadora personal en Rusia. Manuscrypt, una herramienta exclusiva de Lazarus, se ha utilizado desde al menos 2013 y ha aparecido en más de 50 campañas documentadas dirigidas a gobiernos, instituciones financieras, plataformas de criptomonedas y más. Sin embargo, este caso se destacó porque el grupo rara vez se dirige directamente a personas individuales. El exploit de día cero en Google Chrome permite el control total del sistema. Una investigación más exhaustiva rastreó la infección hasta un sitio web engañoso, detankzone.[.]com, que se hizo pasar por una plataforma legítima de juegos de finanzas descentralizadas (DeFi). Los visitantes del sitio, sin saberlo, activaron el exploit simplemente accediendo a través de Chrome. El juego, anunciado como un campo de batalla multijugador en línea basado en NFT, era simplemente una fachada que ocultaba un código malicioso que secuestraba el sistema del usuario a través del navegador. El exploit, dirigido a una característica recientemente introducida en el motor JavaScript V8 de Chrome, permitió a los atacantes eludir los mecanismos de seguridad del navegador y obtener control remoto sobre los dispositivos afectados. Los investigadores de Kaspersky informaron rápidamente de la vulnerabilidad a Google, que lanzó un parche en dos días. Estas son las vulnerabilidades clave en el centro de esta campaña: CVE-2024-4947: una falla en el nuevo compilador Maglev de Chrome que permite a los atacantes sobrescribir estructuras de memoria críticas V8 Sandbox Bypass: una segunda vulnerabilidad permitió a Lazarus eludir las funciones de protección de memoria de Chrome, ejecutando código arbitrario Lea más sobre ataques centrados en navegadores: Las amenazas de phishing en navegadores crecieron un 198% el año pasado Si bien Kaspersky se adhirió a prácticas de divulgación responsables, Microsoft supuestamente publicó un informe relacionado que omitió el elemento de día cero de la campaña. Esto llevó a Kaspersky a proporcionar más detalles, enfatizando la gravedad de la vulnerabilidad y la necesidad de que los usuarios actualicen sus navegadores de inmediato. A medida que Lazarus continúa perfeccionando sus métodos, aprovechando la ingeniería social, los exploits de día cero y las plataformas aparentemente legítimas, tanto las organizaciones como los individuos deben permanecer atentos. Haber de imagen: Alberto García Guillén/Shutterstock.com
Leave a Reply