Vulnerabilidad de Google Chrome explotada por hackers norcoreanos, advierte Microsoft

Grupo de ciberdelincuentes norcoreanos Citrine Sleet explota vulnerabilidad de día cero en Chromium

Microsoft publicó un informe el viernes revelando que la semana pasada descubrió que un grupo cibernético norcoreano, Citrine Sleet, estaba explotando una vulnerabilidad de día cero en el navegador Chromium. Este informe, publicado por el Equipo de Inteligencia de Amenazas de Microsoft y el Centro de Respuesta de Seguridad de Microsoft (MSRC), identificó la vulnerabilidad como CVE-2024-7971, un fallo de confusión de tipos en el motor de Javascript V8 y Webassembly utilizado por Chromium.

Este fallo de día cero permitió la ejecución remota de código (RCE) dentro del proceso aislado del renderizador del navegador, lo que permitió a los atacantes ejecutar código dañino en los sistemas objetivo. Microsoft dijo:

Nuestro análisis continuo y la infraestructura observada nos llevan a atribuir esta actividad con confianza media a Citrine Sleet.

Citrine Sleet es conocido por su enfoque en el sector de las criptomonedas, buscando beneficios financieros. Un análisis más detallado sugirió que Citrine Sleet podría compartir herramientas e infraestructura con otro grupo de amenazas norcoreano, Diamond Sleet, particularmente a través del uso del malware rootkit Fudmodule. El informe señaló que Citrine Sleet, también conocido por otros nombres como Applejeus y Hidden Cobra, está vinculado a la Oficina 121, la unidad de espionaje cibernético de Corea del Norte. El grupo emplea técnicas avanzadas, incluyendo la creación de sitios web falsos de criptomonedas y el envío de ofertas de trabajo maliciosas o carteras de criptomonedas para engañar a las víctimas.

Chromium es un proyecto de navegador web de código abierto que sirve de base para Google Chrome, que incorpora características y servicios propietarios adicionales. Debido a que Chrome se basa en el código fuente de Chromium, las vulnerabilidades en Chromium generalmente también afectan a Chrome.

Cuando un objetivo se conectaba al dominio voyagorclub[.]space, se utilizaba un exploit de día cero, lo que conducía a la descarga de malware y a escapar del sandbox de seguridad de Windows. Aunque Microsoft parcheó la vulnerabilidad el 13 de agosto, no hubo un vínculo directo con las actividades de Citrine Sleet, lo que sugiere que la vulnerabilidad puede haber sido descubierta por diferentes grupos al mismo tiempo o a través de inteligencia compartida.

Microsoft aconsejó:

Las vulnerabilidades de día cero requieren no solo mantener los sistemas actualizados, sino también soluciones de seguridad que proporcionen visibilidad unificada a lo largo de la cadena de ciberataques para detectar y bloquear herramientas de atacante post-compromiso y actividad maliciosa tras la explotación.

El informe subrayó la urgente necesidad de mantener los sistemas actualizados e implementar protocolos de seguridad avanzados para defenderse contra amenazas cibernéticas complejas, particularmente en el sector de criptomonedas. Microsoft enfatizó la necesidad de actualizar rápidamente tanto los sistemas operativos como las aplicaciones, aconsejando: “Mantén los sistemas operativos y aplicaciones actualizados. Aplica parches de seguridad tan pronto como sea posible.” También recomendó que los usuarios verifiquen que su “navegador web Google Chrome esté actualizado a la versión 128.0.6613.84 o posterior.”

¿Cuáles son tus pensamientos sobre el descubrimiento del grupo cibernético norcoreano que explota una vulnerabilidad de día cero en Chromium? Háganos saber en la sección de comentarios a continuación.