Inicio Seguridad Windows 10 en el punto de mira de los hackers de PuzzleMaker...

Windows 10 en el punto de mira de los hackers de PuzzleMaker usando los zero-days de Chrome

0
132

Los investigadores de seguridad de Kaspersky descubrieron un nuevo actor de amenazas apodado PuzzleMaker, que ha utilizado una cadena de exploits de día cero de Google Chrome y Windows 10 en ataques altamente dirigidos contra múltiples empresas de todo el mundo.

Según Kaspersky, los ataques coordinados por PuzzleMaker se detectaron por primera vez a mediados de abril, cuando las redes de las primeras víctimas se vieron comprometidas.

La cadena de exploits de día cero desplegada en la campaña utilizaba una vulnerabilidad de ejecución remota de código en el motor JavaScript V8 de Google Chrome para acceder a los sistemas objetivo.

A continuación, los actores de la amenaza PuzzleMaker utilizaron un exploit de elevación de privilegios hecho a medida para comprometer las últimas versiones de Windows 10, abusando de una vulnerabilidad de divulgación de información en el kernel de Windows (CVE-2021-31955) y de un fallo de escalada de privilegios en Windows NTFS (CVE-2021-31956), ambos parcheados en el martes de parches de junio.

Malware desplegado con privilegios del sistema

Los atacantes abusaron del Windows Notification Facility (WNF) junto con la vulnerabilidad CVE-2021-31956 para ejecutar módulos de malware con privilegios del sistema en los sistemas Windows 10 comprometidos.

«Una vez que los atacantes han utilizado tanto los exploits de Chrome como los de Windows para afianzarse en el sistema objetivo, el módulo stager descarga y ejecuta un dropper de malware más complejo desde un servidor remoto», dijeron los investigadores.

«Este dropper instala entonces dos ejecutables, que simulan ser archivos legítimos pertenecientes al sistema operativo Microsoft Windows.

«El segundo de estos dos ejecutables es un módulo de shell remoto, que es capaz de descargar y cargar archivos, crear procesos, dormir durante ciertos periodos de tiempo y borrarse a sí mismo del sistema infectado».

Cero días en Chrome y Windows


Esta no es la primera cadena de exploits de día cero de Chrome utilizada en la naturaleza en los últimos meses.

Project Zero, el equipo de caza de errores de día cero de Google, desveló una operación a gran escala en la que un grupo de hackers utilizó 11 días cero para atacar a usuarios de Windows, iOS y Android en un solo año.

Los ataques tuvieron lugar en dos campañas separadas, en febrero y octubre de 2020, con al menos una docena de sitios web que albergaban dos servidores de exploits, cada uno de ellos dirigido a usuarios de iOS y Windows o Android.

Los investigadores de Project Zero recopilaron una gran cantidad de información de los servidores de exploits utilizados en las dos campañas, incluyendo:

  • explotaciones del renderizador para cuatro fallos en Chrome, uno de los cuales todavía era un 0-day en el momento del descubrimiento
  • dos exploits de escape de la caja de arena que abusan de tres vulnerabilidades de día 0 en Windows
  • un «kit de escalada de privilegios» compuesto por exploits de día cero conocidos públicamente para versiones antiguas de Android
  • una cadena de exploits completa dirigida a Windows 10 totalmente parcheado utilizando Google Chrome
  • dos cadenas parciales dirigidas a dos dispositivos Android diferentes totalmente parcheados que ejecutan Android 10 utilizando Google Chrome y Samsung Browser
  • varios exploits RCE para iOS 11-13 y un exploit de escalada de privilegios para iOS 13 (con los fallos explotados presentes hasta iOS 14.1)

«En general, últimamente hemos visto varias oleadas de actividad de amenazas de alto perfil impulsadas por exploits de día cero», añadió Boris Larin, investigador de seguridad senior del Equipo de Investigación y Análisis Global (GReAT).

«Es un recordatorio de que los días cero siguen siendo el método más eficaz para infectar objetivos».

Los indicadores de compromiso (IOC), incluidos los hashes de muestras de malware, pueden encontrarse al final del informe de Kaspersky.

SIN COMENTARIOS

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí