Día cero de Chrome fue utilizado para atacar periodistas con un peligroso spyware

25 julio, 2022

Investigadores descubrieron que el proveedor israelí de spyware Candiru usaba una vulnerabilidad de día cero (zero-day) en Google Chrome para espiar a periodistas y otras personas de alto interés en el Medio Oriente con el spyware ‘DevilsTongue’.

La vulnerabilidad identificada como CVE-2022-2294 es un desbordamiento de búfer de alta gravedad en WebRTC. Si la vulnerabilidad se explota con éxito, puede conducir a la ejecución de código en el dispositivo de destino.

Cuando Google parchó el día cero el 4 de julio, reveló que la vulnerabilidad estaba bajo explotación activa, pero no proporcionó más detalles.

En un informe publicado ayer, los investigadores de amenazas de Avast, que descubrieron la vulnerabilidad y la informaron a Google, revelan que la descubrieron después de investigar los ataques de spyware en sus clientes.

Múltiples campañas y métodos de entrega

Según Avast, Candiru comenzó a explotar CVE-2022-2294 en marzo de 2022 y se dirigió a usuarios de Líbano, Turquía, Yemen y Palestina.

Los operadores del spyware emplearon tácticas comunes de ataque de abrevadero. Es decir, comprometieron un sitio web que visitarían sus objetivos y explotaron una vulnerabilidad desconocida en el navegador para infectarlos con spyware.

Este ataque es particularmente desagradable porque no requiere interacción con la víctima, como hacer clic en un enlace o descargar algo. En cambio, todo lo que se necesita es que abran el sitio en Google Chrome u otro navegador basado en Chromium.

Estos sitios web pueden ser legítimos que de alguna manera fueron comprometidos o creados por los atacantes y promovidos a través de phishing u otros métodos.

En un caso, los atacantes comprometieron un sitio web utilizado por una agencia de noticias en el Líbano y plantaron fragmentos de JavaScript. Los fragmentos permitieron ataques XXS (secuencias de comandos entre sitios) y redirigieron objetivos válidos al servidor de los atacantes.

Código inyectado para cargar JavaScript desde un recurso remoto

Una vez que las víctimas llegaban al servidor, se perfilaban con gran detalle utilizando unos 50 puntos de datos. Si el objetivo se consideraba válido, se establecía un intercambio de datos cifrados para que se llevara a cabo el exploit de día cero.

“La información recopilada incluye el idioma de la víctima, la zona horaria, la información de la pantalla, el tipo de dispositivo, los complementos del navegador, la referencia, la memoria del dispositivo, la funcionalidad de las cookies y más”.
Informe de Avast.

El Líbano

En el caso de Líbano, el día cero permitió a los ciberdelincuentes lograr la ejecución de shellcode dentro de un proceso de renderización y se encadenó aún más con una falla de escape de sandbox que Avast no pudo recuperar para el análisis.

Debido a que la vulnerabilidad se ubicó en WebRTC, también afectó al navegador Safari de Apple. Sin embargo, el exploit visto por Avast solo funcionó en Windows.

Después de la infección inicial, DevilsTongue usó un paso BYOVD (“traiga su propio controlador”) para elevar sus privilegios y obtener acceso de lectura y escritura a la memoria del dispositivo comprometido.

**Uno de los controladores IOCTL vulnerables utilizados en el exploit BYOVD**

Curiosamente, Avast descubrió que el BYOVD utilizado por Candiru también era de día cero. Incluso si el proveedor lanza una actualización de seguridad, no ayudará contra el spyware porque la versión vulnerable viene incluida.

Si bien no está claro a qué datos apuntaban los atacantes, Avast cree que los atacantes los usaron para obtener más información sobre las noticias que investigaba el periodista atacado.

“No podemos decir con seguridad qué podrían haber buscado los atacantes. Sin embargo, a menudo, la razón por la que los atacantes persiguen a los periodistas es para espiarlos a ellos y las historias en las que están trabajando directamente. También los espían para llegar a sus fuentes y recopilar información comprometedora y datos confidenciales que compartieron con la prensa “.
– Avast.

La amenaza constante del spyware

Los proveedores comerciales de spyware son conocidos por desarrollar o comprar exploits de día cero para atacar a personas de interés para sus clientes.

La última vez que Microsoft y Citizen Lab expusieron a Candiru, la empresa se retractó de todas las operaciones de DevilsTongue y trabajó en el anonimato para implementar nuevos días cero, como revela ahora Avast.

Desafortunadamente, esto también significa que volverá a ocurrir lo mismo. Por lo tanto,incluso si aplicas las actualizaciones de seguridad de inmediato, no te hace inmune al spyware comercial.

Para abordar este problema, Apple planea introducir una nueva característica de iOS 16 llamada ‘ Modo de bloqueo’. Esta limita las características y la funcionalidad del dispositivo para evitar fugas de datos confidenciales o minimizar las implicaciones de una infección de spyware.