Un vendedor secreto de software de ciberataque explotó recientemente una vulnerabilidad de Chrome previamente desconocida y otros dos días cero en campañas que infectaron de manera encubierta a periodistas y otros objetivos con software espía sofisticado, dijeron investigadores de seguridad.
CVE-2022-2294, ya que se rastrea la vulnerabilidad, proviene de fallas de corrupción de memoria en Comunicaciones web en tiempo real
, un proyecto de código abierto que proporciona interfaces de programación de JavaScript para permitir capacidades de comunicación de voz, texto y video en tiempo real entre navegadores web y dispositivos. Google reparó la falla el 4 de julio después de que los investigadores de la firma de seguridad Avast notificaran en privado a la compañía que estaba siendo explotada en ataques de abrevadero, que infectan sitios web específicos con malware con la esperanza de infectar a los usuarios frecuentes. Desde entonces, Microsoft y Apple han parcheado la misma falla de WebRTC en sus navegadores Edge y Safari, respectivamente.
Avast dijo el jueves que descubrió múltiples campañas de ataque, cada una entregando el exploit a su manera a los usuarios de Chrome en el Líbano, Turquía, Yemen y Palestina. Los sitios de abrevadero fueron muy selectivos al elegir qué visitantes infectar. Una vez que los sitios de abrevadero explotaron con éxito la vulnerabilidad, utilizaron su acceso para instalar diabloslenguael nombre que Microsoft dio el año pasado al malware avanzado vendido por una empresa con sede en Israel llamada Candiru.
“En el Líbano, los atacantes parecen haber comprometido un sitio web utilizado por los empleados de una agencia de noticias”, escribió el investigador de Avast, Jan Vojtěšek. “No podemos decir con certeza qué podrían haber buscado los atacantes, sin embargo, a menudo la razón por la que los atacantes persiguen a los periodistas es para espiarlos a ellos y las historias en las que están trabajando directamente, o para llegar a sus fuentes y recopilar información comprometedora”. y datos confidenciales que compartieron con la prensa”.
Vojtěšek dijo que Candiru había permanecido oculto tras las revelaciones publicadas en julio pasado por Microsoft y CitizenLab
. El investigador dijo que la compañía resurgió de las sombras en marzo con un conjunto de herramientas actualizado. El sitio de abrevadero, que Avast no identificó, se esforzó no solo en seleccionar solo a ciertos visitantes para infectar, sino también en evitar que sus preciosas vulnerabilidades de día cero fueran descubiertas por investigadores o posibles piratas informáticos rivales.
Vojtěšek escribió:
Curiosamente, el sitio web comprometido contenía artefactos de ataques XSS persistentes, con páginas que contenían llamadas a la función de alerta de Javascript junto con palabras clave como “prueba”. Suponemos que así es como los atacantes probaron la vulnerabilidad XSS, antes de explotarla de verdad inyectando un código que carga Javascript malicioso desde un dominio controlado por el atacante. Este código inyectado luego fue responsable de enrutar a las víctimas previstas (y solo a las víctimas previstas) al servidor de explotación, a través de varios otros dominios controlados por el atacante.
Agrandar/ El código malicioso se inyectó en el sitio web comprometido, cargando más Javascript desde el bloque de estilo.[.]com
Avast
Una vez que la víctima llega al servidor de explotación, Candiru reúne más información. Se recopila y envía a los atacantes un perfil del navegador de la víctima, que consta de unos 50 puntos de datos. La información recopilada incluye el idioma de la víctima, la zona horaria, la información de la pantalla, el tipo de dispositivo, los complementos del navegador, la referencia, la memoria del dispositivo, la funcionalidad de las cookies y más. Suponemos que esto se hizo para proteger aún más el exploit y asegurarse de que solo se entregue a las víctimas objetivo. Si los datos recopilados satisfacen al servidor de explotación, utiliza RSA-2048 para intercambiar una clave de cifrado con la víctima. Esta clave de encriptación se usa con AES-256-CBC para establecer un canal encriptado a través del cual las vulnerabilidades de día cero se entregan a la víctima. Este canal encriptado se configura sobre TLS, ocultando efectivamente las vulnerabilidades incluso de aquellos que estarían descifrando la sesión de TLS para capturar el tráfico HTTP de texto sin formato.
A pesar de los esfuerzos por mantener en secreto CVE-2022-2294, Avast logró recuperar el código de ataque, que aprovechó un desbordamiento de montón en WebRTC para ejecutar código shell malicioso dentro de un proceso de renderizado. La recuperación permitió a Avast identificar la vulnerabilidad y reportarla a los desarrolladores para que pudiera solucionarse. La empresa de seguridad no pudo obtener un exploit de día cero por separado que se requería para que el primer exploit pudiera escapar de la zona de pruebas de seguridad de Chrome. Eso significa que este segundo día cero vivirá para luchar otro día.
Una vez que se instaló DevilsTongue, intentó elevar los privilegios de su sistema instalando un controlador de Windows que contenía otra vulnerabilidad sin parchear, lo que elevó la cantidad de días cero explotados en esta campaña a al menos tres. Una vez que se instaló el controlador no identificado, DevilsTongue explotaría la falla de seguridad para obtener acceso al kernel, la parte más sensible de cualquier sistema operativo. Los investigadores de seguridad llaman a la técnica BYOVD, abreviatura de “traiga su propio controlador vulnerable”. Permite que el malware derrote las defensas del sistema operativo, ya que la mayoría de los controladores tienen acceso automáticamente al kernel del sistema operativo.
Avast informó la falla al fabricante del controlador, pero no hay indicios de que se haya lanzado un parche. En el momento de la publicación, solo Avast y otro motor antivirus detectó la vulnerabilidad del controlador.
Dado que tanto Google como Microsoft parchearon CVE-2022-2294 a principios de julio, es muy probable que la mayoría de los usuarios de Chrome y Edge ya estén protegidos. Apple, sin embargo, arreglado la vulnerabilidad el miércoles, lo que significa que los usuarios de Safari deben asegurarse de que sus navegadores estén actualizados.
“Si bien no hay forma de que sepamos con certeza si la vulnerabilidad de WebRTC también fue explotada por otros grupos, es una posibilidad”, escribió Vojtěšek. “A veces, los zero-day son descubiertos de forma independiente por varios grupos, a veces alguien vende la misma vulnerabilidad/explotación a varios grupos, etc. Pero no tenemos indicios de que haya otro grupo que explote este mismo zero-day”.
![El código malicioso se inyectó en el sitio web comprometido, cargando más Javascript desde el bloque de estilo.[.]com](https://cdn.arstechnica.net/wp-content/uploads/2022/07/injected-code.png)