Recientemente, mencionamos el descubrimiento de una nueva vulnerabilidad de día cero en Google Chrome. Las vulnerabilidades de día cero son fallos “élite” utilizados por un pequeño número de atacantes altamente capacitados. Generalmente se venden en la web profunda por miles o incluso decenas de miles de dólares. Aquellos que las descubren a menudo las usan exclusivamente para obtener mayores recompensas.
Vulnerabilidad de Chrome y Criptomonedas
Siempre aconsejamos mantenerse alejado de sitios web y aplicaciones no confiables. También se recomienda usar software antivirus de phace probado para asegurar su tráfico web. Aunque el software antivirus no siempre protege a los usuarios, lo mantiene significativamente alejado de trampas conocidas.
Microsoft informó recientemente que la vulnerabilidad de seguridad que mencionamos anteriormente fue utilizada por atacantes norcoreanos para apuntar a inversores en criptomonedas.
“El 19 de hacesto de 2024, Microsoft identificó que un actor de amenazas norcoreano explotó una vulnerabilidad de día cero en Chromium, identificada como CVE-2024-7971, para lograr la ejecución remota de código (RCE). Evaluamos con alta confianza que la explotación observada de CVE-2024-7971 puede atribuirse a un actor de amenazas norcoreano que apunta al sector de criptomonedas para obtener ganancias financieras.”
Los expertos de Microsoft encontraron que la vulnerabilidad fue utilizada conjuntamente por dos grupos llamados Diamond Sleet y Citrine Sleet. Entonces, ¿cuál es el escenario del ataque? Vemos esto en los detalles de la investigación.
“El ataque de explotación de día cero observado por Citrine Sleet utilizó etapas típicas vistas en cadenas de explotación de navegadores. Inicialmente, los objetivos fueron redirigidos a la dirección de ataque voy****club[.]space controlada por Citrine Sleet. Aunque actualmente no podemos verificar cómo fueron redirigidos los objetivos, la ingeniería social (redirigir a un enlace diciendo que es una aplicación de comercio o billetera de criptomonedas, etc.) es una táctica común utilizada por Citrine Sleet. Cuando un objetivo se conectó a la dirección de internet, se entregó el exploit de RCE de día cero para CVE-2024-7971.
Después de que el exploit de RCE logró ejecutar código en el proceso de renderizado protegido de Chromium, se descargó y luego se cargó en la memoria un shellcode que contenía un exploit de escape de sandbox de Windows y un rootkit FudModule. El escape de sandbox explotó una vulnerabilidad de seguridad en el kernel de Windows, CVE-38106, que Microsoft corrigió el 13 de hacesto de 2024, antes de descubrir esta actividad por parte del actor de amenazas norcoreano.”
Google Chrome parcheó esta vulnerabilidad el 21 de hacesto y se espera que proporcione una explicación detallada dentro de 60 días. Siempre mantenga su navegador actualizado y esté atento. Los atacantes norcoreanos ahora están llevando a cabo ataques mucho más dirigidos, y tales vulnerabilidades recién descubiertas facilitan su trabajo. Aún no se ha publicado un informe completo sobre los inversores en criptomonedas victimizados por esta vulnerabilidad. Además, aquellos que aún no han actualizado sus sistemas siguen siendo objetivos potenciales.
