Los piratas informáticos utilizaron 4 días cero para infectar dispositivos Windows y Android

Imagen estilizada de filas de candados.

Los investigadores de Google detallaron un truco sofisticado que explota vulnerabilidades en Chrome y Windows para instalar malware en dispositivos Android y Windows.

Algunas de las vulnerabilidades fueron de día cero, lo que significa que se dirigieron a vulnerabilidades que eran desconocidas para Google, Microsoft y la mayoría de los investigadores externos en ese momento (ambas compañías han corregido los agujeros de seguridad desde entonces). Los piratas informáticos han entregado las vulnerabilidades a través de ataques de pozo de agua, que comprometen los sitios frecuentados por los objetivos de interés y enganchan los sitios con un código que instala malware en los dispositivos de los visitantes. Los sitios con trampas explosivas utilizaron dos servidores de explotación, uno para usuarios de Windows y otro para usuarios de Android.

No son los hackers promedio

El uso de infraestructuras complejas y de día cero no es en sí mismo un signo de sofisticación, pero muestra una habilidad superior a la media por parte de un equipo de piratas informáticos profesionales. Combinado con la robustez del código de ataque, que encadenó múltiples exploits de manera eficiente, la campaña demuestra que fue dirigida por un «actor altamente sofisticado».

«Estas cadenas de exploits están diseñadas para ser eficaces y flexibles debido a su modularidad», escribió un investigador del equipo de investigación de exploits Project Zero de Google. “Son códigos complejos y bien diseñados con una variedad de nuevos métodos de explotación, registros maduros, técnicas de posexplotación sofisticadas y calculadas, y altos volúmenes de controles anti-análisis y focalización. Creemos que equipos de expertos han diseñado y desarrollado estas cadenas de exploits «.

La modularidad de las cargas útiles, las cadenas de explotación intercambiables y el registro, la orientación y la madurez de las operaciones también distinguen a la campaña, dijo el investigador.

Los cuatro días cero explotados fueron:

  • CVE-2020-6418: vulnerabilidad de Chrome en TurboFan (solucionado en febrero de 2020)
  • CVE-2020-0938 – Vulnerabilidad de fuentes en Windows (solucionado en abril de 2020)
  • CVE-2020-1020: Vulnerabilidad de fuentes en Windows (solucionado en abril de 2020)
  • CVE-2020-1027 – Vulnerabilidad de CSRSS de Windows (solucionado en abril de 2020)

Los atacantes lograron la ejecución remota de código aprovechando Chrome de día cero y varias vulnerabilidades de Chrome actualizadas recientemente. Todos los días cero se utilizaron contra usuarios de Windows. Ninguna de las cadenas de ataques contra dispositivos Android explotó el día cero, pero los investigadores del Proyecto Zero dijeron que es probable que los atacantes tuvieran Android día cero a su disposición.

El siguiente diagrama proporciona una descripción general visual de la campaña, que tuvo lugar en el primer trimestre del año pasado:

Google

En total, Project Zero ha lanzado seis entregas que detallan las vulnerabilidades y las cargas útiles posteriores a la explotación encontradas por los investigadores. Otras partes describen un error interminable de Chrome, exploits de Chrome, exploits de Android, cargas útiles de exploits posteriores a Android y exploits de Windows.

La intención de la serie es ayudar a la comunidad de seguridad en general a combatir operaciones complejas de malware de manera más efectiva. «Esperamos que esta serie de publicaciones en el blog proporcione a otros una mirada en profundidad a la explotación por parte de un actor del mundo real maduro y presumiblemente ingenioso», escribieron los investigadores de Project Zero.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *