El día cero utilizado para infectar a los usuarios de Chrome también podría representar una amenaza para los usuarios de Edge y Safari.
El día cero utilizado para infectar a los usuarios de Chrome también podría representar una amenaza para los usuarios de Edge y Safari.
Zoom
imágenes falsas
Un proveedor de software de ciberataque encubierto explotó recientemente una vulnerabilidad de Chrome previamente desconocida y otras dos vulnerabilidades de día cero en campañas que infectaron de manera encubierta a periodistas y otros objetivos con software espía sofisticado, dicen los investigadores de seguridad.
CVE-2022-2294, ya que se rastrea la vulnerabilidad, se deriva de fallas de corrupción de memoria en Web Real-Time Communications, un proyecto de código abierto que proporciona interfaces de programación de JavaScript para permitir capacidades de comunicación de voz, texto y voz. tiempo de video entre navegadores web y dispositivos. Google reparó la falla el 4 de julio después de que los investigadores de la firma de seguridad Avast informaran en privado a la compañía que estaba siendo explotada en ataques de pozos de agua, que infectan sitios web específicos con malware con la esperanza de infectar a los usuarios frecuentes. Desde entonces, Microsoft y Apple corrigieron la misma falla de WebRTC en sus navegadores Edge y Safari, respectivamente.
Avast dijo el jueves que descubrió múltiples campañas de ataque, cada una entregando el exploit a su manera a los usuarios de Chrome en Líbano, Turquía, Yemen y Palestina. Los abrevaderos fueron muy selectivos al elegir qué visitantes infectar. Una vez que los sitios de pozos de agua explotaron con éxito la vulnerabilidad, utilizaron su acceso para instalar DevilsTongue, el nombre que Microsoft le dio el año pasado al malware avanzado vendido por una empresa con sede en Israel llamada Candiru.
"En Líbano, los atacantes parecen haber pirateado un sitio web utilizado por los empleados de una agencia de noticias", escribió Jan Vojtěšek, investigador de Avast. "No podemos decir con certeza qué podrían haber estado buscando los atacantes, pero a menudo la razón por la que los atacantes persiguen a los periodistas es para espiarlos a ellos y las historias en las que trabajan directamente, o para acceder a sus fuentes y recopilar información incriminatoria y datos confidenciales que han compartido con la prensa".
Vojtěšek dijo que Candiru había mantenido un perfil bajo luego de las revelaciones publicadas en julio pasado por Microsoft y CitizenLab. El investigador dijo que la compañía emergió de las sombras en marzo con un conjunto actualizado de herramientas. El sitio del pozo de agua, que Avast no identificó, se encargó no solo de seleccionar solo a ciertos visitantes para infectar, sino también de evitar que investigadores o piratas informáticos potenciales descubrieran sus valiosas vulnerabilidades de día cero.
Vojtěšek escribió:
Curiosamente, el sitio web comprometido contenía artefactos de ataques XSS persistentes, con páginas que contenían llamadas a la función de alerta de Javascript, así como palabras clave como "prueba". Sospechamos que así es como los atacantes probaron la vulnerabilidad XSS, antes de finalmente explotarla de verdad inyectando un código que carga JavaScript malicioso desde un dominio controlado por el atacante. Este código inyectado luego fue responsable de enrutar a las víctimas previstas (y solo a las víctimas previstas) al servidor de explotación, a través de varios otros dominios controlados por el atacante.
Agrandar / Código malicioso inyectado en sitio web comprometido, cargando más JavaScript desde styleblock[.]com
Avast
Una vez que la víctima llega al servidor de explotación, Candiru recopila más información...
Un proveedor de software de ciberataque encubierto explotó recientemente una vulnerabilidad de Chrome previamente desconocida y otras dos vulnerabilidades de día cero en campañas que infectaron de manera encubierta a periodistas y otros objetivos con software espía sofisticado, dicen los investigadores de seguridad.
CVE-2022-2294, ya que se rastrea la vulnerabilidad, se deriva de fallas de corrupción de memoria en Web Real-Time Communications, un proyecto de código abierto que proporciona interfaces de programación de JavaScript para permitir capacidades de comunicación de voz, texto y voz. tiempo de video entre navegadores web y dispositivos. Google reparó la falla el 4 de julio después de que los investigadores de la firma de seguridad Avast informaran en privado a la compañía que estaba siendo explotada en ataques de pozos de agua, que infectan sitios web específicos con malware con la esperanza de infectar a los usuarios frecuentes. Desde entonces, Microsoft y Apple corrigieron la misma falla de WebRTC en sus navegadores Edge y Safari, respectivamente.
Avast dijo el jueves que descubrió múltiples campañas de ataque, cada una entregando el exploit a su manera a los usuarios de Chrome en Líbano, Turquía, Yemen y Palestina. Los abrevaderos fueron muy selectivos al elegir qué visitantes infectar. Una vez que los sitios de pozos de agua explotaron con éxito la vulnerabilidad, utilizaron su acceso para instalar DevilsTongue, el nombre que Microsoft le dio el año pasado al malware avanzado vendido por una empresa con sede en Israel llamada Candiru.
"En Líbano, los atacantes parecen haber pirateado un sitio web utilizado por los empleados de una agencia de noticias", escribió Jan Vojtěšek, investigador de Avast. "No podemos decir con certeza qué podrían haber estado buscando los atacantes, pero a menudo la razón por la que los atacantes persiguen a los periodistas es para espiarlos a ellos y las historias en las que trabajan directamente, o para acceder a sus fuentes y recopilar información incriminatoria y datos confidenciales que han compartido con la prensa".
Vojtěšek dijo que Candiru había mantenido un perfil bajo luego de las revelaciones publicadas en julio pasado por Microsoft y CitizenLab. El investigador dijo que la compañía emergió de las sombras en marzo con un conjunto actualizado de herramientas. El sitio del pozo de agua, que Avast no identificó, se encargó no solo de seleccionar solo a ciertos visitantes para infectar, sino también de evitar que investigadores o piratas informáticos potenciales descubrieran sus valiosas vulnerabilidades de día cero.
Vojtěšek escribió:
Curiosamente, el sitio web comprometido contenía artefactos de ataques XSS persistentes, con páginas que contenían llamadas a la función de alerta de Javascript, así como palabras clave como "prueba". Sospechamos que así es como los atacantes probaron la vulnerabilidad XSS, antes de finalmente explotarla de verdad inyectando un código que carga JavaScript malicioso desde un dominio controlado por el atacante. Este código inyectado luego fue responsable de enrutar a las víctimas previstas (y solo a las víctimas previstas) al servidor de explotación, a través de varios otros dominios controlados por el atacante.
Agrandar / Código malicioso inyectado en sitio web comprometido, cargando más JavaScript desde styleblock[.]com
Avast
Una vez que la víctima llega al servidor de explotación, Candiru recopila más información...
Zoom
imágenes falsas
![Código malicioso inyectado en un sitio web comprometido, cargando más Javascript de Stylishblock[.]com](https://cdn .arstechnica.net /wp -content/uploads/2022/07/injected-code-640x57.png)
Agrandar / Código malicioso inyectado en sitio web comprometido, cargando más JavaScript desde styleblock[.]com
Avast
