Pesquisadores de cibersegurança identificaram múltiplas campanhas de exploração ativas que utilizavam falhas já corrigidas nos navegadores Apple Safari e Google Chrome para infectar usuários de dispositivos móveis com malware de roubo de informações.
"Essas campanhas entregavam exploits n-day para os quais patches estavam disponíveis, mas que ainda seriam eficazes contra dispositivos sem atualização," disse Clement Lecigne, pesquisador do Google Threat Analysis Group (TAG), em relatório compartilhado.
A atividade, observada entre novembro de 2023 e julho de 2024, é notável por entregar os exploits por meio de um ataque de watering hole em websites do governo da Mongólia, cabinet.gov[.]mn e mfa.gov[.]mn.
O conjunto de intrusões foi atribuído com confiança moderada a um ator de ameaça respaldado pelo estado russo, codinomeado APT29 (também conhecido como Midnight Blizzard), com paralelos observados entre os exploits utilizados nas campanhas e aqueles previamente vinculados a fornecedores de vigilância comercial (CSVs) como Intellexa e NSO Group, indicando a reutilização de exploits.
As vulnerabilidades no centro das campanhas são listadas abaixo:
CVE-2023-41993
- Uma falha no WebKit que poderia resultar na execução de código arbitrário ao processar conteúdo web especialmente criado (Corrigido pela Apple no iOS 16.7 e Safari 16.6.1 em setembro de 2023)
CVE-2024-4671 - Uma falha de use-after-free no componente Visuals do Chrome que poderia resultar na execução de código arbitrário (Corrigido pelo Google na versão 124.0.6367.201/.202 do Chrome para Windows e macOS, e versão 124.0.6367.201 para Linux em maio de 2024)
CVE-2024-5274 - Uma falha de confusão de tipo no motor V8 JavaScript e WebAssembly que poderia resultar na execução de código arbitrário (Corrigido pelo Google na versão 125.0.6422.112/.113 do Chrome para Windows e macOS, e versão 125.0.6422.112 para Linux em maio de 2024)
As campanhas de novembro de 2023 e fevereiro de 2024 teriam envolvido comprometimentos dos dois websites do governo da Mongólia – ambos na primeira e somente mfa.gov[.]mn no último – para entregar um exploit para
CVE-2023-41993
por meio de um componente de iframe malicioso apontando para um domínio controlado pelo ator.
"Ao serem visitados com um dispositivo iPhone ou iPad, os sites de watering hole usavam um iframe para servir um payload de reconhecimento, que realizava verificações de validação antes de, finalmente, fazer download e implantar outro payload com o exploit do WebKit para exfiltrar cookies do navegador do dispositivo," disse o Google.
O payload é um framework de roubo de cookies que o Google TAG detalhou previamente em conexão com a exploração de um zero-day do iOS em 2021 (
CVE-2021-1879
) para colher cookies de autenticação de vários websites populares, incluindo Google, Microsoft, LinkedIn, Facebook, Yahoo, GitHub e Apple iCloud, e enviá-los via WebSocket para um endereço IP controlado pelo atacante.
A vítima precisaria ter uma sessão aberta nesses websites pelo Safari para que os cookies fossem exfiltrados com sucesso," notou o Google na época, adicionando que "os atacantes usaram mensagens do LinkedIn para mirar em oficiais do governo de países da Europa ocidental, enviando-lhes links maliciosos.
O fato do módulo de roubo de cookies também visar especificamente o website "webmail.mfa.gov[.]mn" sugere que funcionários do governo da Mongólia foram provavelmente alvos da campanha iOS.
O website mfa.gov[.]mn foi infectado uma terceira vez em julho de 2024 para injetar código JavaScript que redirecionava usuários Android usando o Chrome para um link malicioso que servia uma cadeia de exploits combinando as falhas CVE-2024-5274 e CVE-2024-4671 para implantar um payload de roubo de informações do navegador.
Em particular, a sequência de ataque usa o CVE-2024-5274 para comprometer o renderer e o CVE-2024-4671 para conseguir uma vulnerabilidade de escape do sandbox, tornando possível sair das proteções de isolamento de site do Chrome e entregar um malware stealer que pode furtar cookies, senhas, dados de cartão de crédito, histórico de navegador e trust tokens.
"Esta campanha entrega um binário simples que deleta todos os relatórios de Crash do Chrome e exfiltra os seguintes bancos de dados do Chrome de volta para o servidor track-adv[.]com – similar ao payload final básico visto nas campanhas iOS anteriores," o Google TAG observou.
A gigante da tecnologia ainda disse que os exploits usados no ataque de watering hole de novembro de 2023 e pela Intellexa em setembro de 2023 compartilham o mesmo código de gatilho, um padrão também observado nos gatilhos para CVE-2024-5274 usados no ataque de watering hole de julho de 2024 e pelo NSO Group em maio de 2024.
Além disso, o exploit para CVE-2024-4671 teria semelhanças com um anterior escape de sandbox do Chrome que a Intellexa foi descoberta usando ativamente em conexão com outra falha do Chrome
CVE-2021-37973
, que foi abordada pelo Google em setembro de 2021.
Embora atualmente não esteja claro como os atacantes conseguiram adquirir os exploits para as três falhas, as descobertas deixam claro que atores de nações-estado estão utilizando exploits n-day que foram originalmente usados como zero-days por CSVs.
No entanto, levanta a possibilidade de que os exploits possam ter sido adquiridos de um corretor de vulnerabilidades que anteriormente os vendeu para os fornecedores de spyware como zero-days, um fornecimento constante do qual mantém o ciclo em movimento enquanto Apple e Google reforçam defesas.
"Além disso, ataques de watering hole permanecem uma ameaça onde exploits sofisticados podem ser utilizados para mirar aqueles que visitam sites regularmente, inclusive em dispositivos móveis," disseram os pesquisadores.
Watering holes ainda podem ser uma avenida eficaz para exploits n-day ao mirar massivamente uma população que pode ainda estar usando navegadores sem atualização.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...