Google ha confermato di aver corretto una grave vulnerabilità di sicurezza nel suo browser Internet Chrome che ha consentito ad attori malintenzionati di spiare le persone e potenzialmente prendere il controllo dei loro dispositivi.
In un post sul blog, Adam Weidemann del Threat Analysis Group di Google ha affermato che il difetto è stato utilizzato in natura già il 4 gennaio da due entità separate della criminalità informatica.
Questi due gruppi sono conosciuti come Operazione Dream Job e Operazione AppleJeus, e si dice che entrambi abbiano stretti legami con il governo della Corea del Nord.
Pulisci gli indizi
Secondo Google, entrambi i gruppi utilizzavano la stessa vulnerabilità, ma il loro approccio, così come i loro obiettivi, differiscono. L’azienda afferma che mentre l’operazione Dream Job ha preso di mira le persone che lavorano nelle principali testate giornalistiche, registrar di domini, provider di hosting e fornitori di software, l’operazione AppleJeus ha preso di mira le persone che lavorano nei settori delle criptovalute e della fintech.
Anche i loro metodi erano diversi. I primi hanno assunto l’identità dei reclutatori, inviando false richieste di lavoro presso Google, Oracle o Disney e distribuendo collegamenti a siti Web che imitano Indeed, ZipRecruiter o DisneyCareers.
Questi siti sono stati caricati con un iframe nascosto che ha sfruttato il difetto e ha consentito l’esecuzione di codice in remoto.
Quest’ultimo, invece, ha fatto una cosa simile creando siti web fasulli, ma ha anche compromesso i siti legittimi e ha installato su di essi anche gli iframe armati.
I ricercatori affermano anche che i gruppi sono stati bravi a nascondere le loro tracce una volta terminato il lavoro. Se riescono a eseguire codice remoto, cercheranno di ottenere un ulteriore accesso all’endpoint di destinazione, dopodiché cercheranno di rimuovere tutte le tracce della loro esistenza.
“Ansiosi di proteggere i propri exploit, gli aggressori hanno implementato diverse misure di protezione per rendere difficile per i team di sicurezza il ripristino di qualsiasi passaggio”, scrive Weidemann.
Google afferma che gli aggressori farebbero apparire gli iframe “solo in momenti specifici” e che le vittime riceverebbero collegamenti univoci che scadono una volta attivati. Ogni fase dell’attacco è stata crittografata con l’algoritmo AES e, se una delle fasi ha fallito, l’intera operazione si è interrotta.
La vulnerabilità è stata corretta il 14 febbraio.
Attraverso: Il registro