Google ha confermato di aver corretto un grave difetto di sicurezza nel suo browser Internet Chrome che consentiva ad attori malintenzionati di spiare le persone e potenzialmente prendere il controllo dei loro dispositivi.
In un post sul blog, Adam Weidemann della Threat Analysis Suite di Google ha affermato che il difetto era stato utilizzato dal XNUMX gennaio da due entità separate della criminalità informatica.
Questi due abiti sono conosciuti come Operazione Dream Job e Operazione AppleJeus, e si dice che i due abbiano stretti legami con il governo nordcoreano.
tracce pulite
Secondo Google, le due suite utilizzavano la stessa identica vulnerabilità, ma il loro approccio, come i loro obiettivi, differiva. La società afferma che mentre Operation Dream Job era rivolto a persone che lavoravano presso grandi testate giornalistiche, registrar di domini, rivenditori di hosting e distributori di software, Operation AppleJeus era rivolto a persone nei settori delle criptovalute e dei giochi fintech.
Anche i loro metodi erano diversi. Il primo ha accettato l'identità dei reclutatori, ha inviato false richieste di lavoro in Google, Oracle o Disney e ha distribuito collegamenti a siti che imitavano Indeed, ZipRecruiter o DisneyCareers.
Questi siti sono stati caricati con un iframe nascosto che avrebbe sfruttato il difetto e consentito l'esecuzione di codice in remoto.
Quest'ultimo, d'altra parte, ha fatto lo stesso creando siti falsi, ma ha anche compromesso siti legittimi e installato anche su di essi gli iframe armati.
Gli studiosi affermano anche che i set erano bravi a nascondere le loro tracce una volta terminato il lavoro. Se riescono ad eseguire il codice da remoto, cercheranno di ottenere più accesso al punto di destinazione e all'endpoint, dopodiché cercheranno di rimuovere tutte le indicazioni della sua esistenza.
"Attenti a salvaguardare i propri exploit, gli aggressori hanno integrato più protezioni per impedire ai team di sicurezza di recuperare qualsiasi fase", scrive Weidemann.
Google afferma che gli aggressori farebbero apparire gli iframe "solo in orari specifici" e che le vittime otterrebbero collegamenti univoci che scadrebbero una volta attivati. Ogni fase dell'attacco è stata crittografata con l'algoritmo AES e, se una delle fasi falliva, l'intera operazione veniva interrotta.
La vulnerabilità è stata corretta il XNUMX febbraio.
Via: Il Registro