Un reservado vendedor de software de ciberataque explotó recientemente una vulnerabilidad de Chrome desconocida hasta entonces y otros dos días cero en campañas que infectaron de forma encubierta a periodistas y otros objetivos con un sofisticado software espía, según afirman los investigadores de seguridad. Su origen proviene de un fallo de corrupción de memoria en Web Real-Time Communications, un proyecto de código abierto que proporciona interfaces de programación de JavaScript para habilitar las capacidades de comunicación de voz, texto y vídeo en tiempo real entre los navegadores web y los dispositivos. Google parcheó el fallo el 4 de julio después de que investigadores de la empresa de seguridad Avast le notificaran en privado que estaba siendo explotado en ataques de tipo watering hole, que infectan sitios web con malware con la esperanza de infectar a los usuarios habituales. Desde entonces, Microsoft y Apple han parcheado el mismo fallo de WebRTC en sus navegadores Edge y Safari, respectivamente. Avast dijo el jueves 21 de julio que descubrió múltiples campañas de ataque, cada una de las cuales entregaba el exploit a su manera a los usuarios de Chrome en Líbano, Turquía, Yemen y Palestina. Los sitios de watering hole eran muy selectivos a la hora de elegir a los visitantes a infectar. Una vez que los sitios de watering hole explotaban con éxito la vulnerabilidad, utilizaban su acceso para instalar DevilsTongue, el nombre que Microsoft dio el año pasado al malware avanzado vendido por una empresa con sede en Israel llamada Candiru. "En el Líbano, los atacantes parecen haber comprometido un sitio web utilizado por los empleados de una agencia de noticias", escribió el investigador de Avast Jan Vojtěšek. "No podemos decir con seguridad lo que los atacantes podrían haber estado buscando, sin embargo, a menudo la razón por la que los atacantes van tras los periodistas es para espiarlos y las historias en las que están trabajando directamente, o para llegar a sus fuentes y reunir información comprometedora y datos sensibles que compartieron con la prensa." Vojtěšek dijo que Candiru había pasado desapercibido tras las denuncias publicadas el pasado julio por Microsoft y CitizenLab. El investigador dijo que la empresa resurgió de las sombras en marzo con un conjunto de herramientas actualizadas. El sitio de watering hole, que Avast no identificó, se esmeró no sólo en seleccionar sólo a ciertos visitantes para infectar, sino también en evitar que sus preciadas vulnerabilidades de día cero fueran descubiertas por investigadores o potenciales hackers rivales. Vojtěšek escribió:

"Interesantemente, el sitio web comprometido contenía artefactos de ataques XSS persistentes, habiendo páginas que contenían llamadas a la función Javascript alert junto con palabras clave como "test". Suponemos que así es como los atacantes probaron la vulnerabilidad XSS, antes de explotarla finalmente de forma real inyectando una pieza de código que carga Javascript malicioso desde un dominio controlado por el atacante. Este código inyectado era entonces responsable de dirigir a las víctimas previstas (y sólo a las víctimas previstas) al servidor de explotación, a través de varios otros dominios controlados por el atacante. imagen de Avast Una vez que la víctima llega al servidor de explotación, Candiru recopila más información. Se recoge un perfil del navegador de la víctima, que consta de unos 50 puntos de datos y se envía a los atacantes. La información recopilada incluye el idioma de la víctima, la zona horaria, la información de la pantalla, el tipo de dispositivo, los plugins del navegador, la referencia, la memoria del dispositivo, la funcionalidad de las cookies, etc. Suponemos que esto se hizo para proteger aún más el exploit y asegurarse de que sólo se entrega a las víctimas objetivo. Si los datos recogidos satisfacen al servidor del exploit, éste utiliza RSA-2048 para intercambiar una clave de cifrado con la víctima. Esta clave de cifrado se utiliza con AES-256-CBC para establecer un canal cifrado a través del cual los exploits de día cero se entregan a la víctima. Este canal encriptado se establece sobre TLS, ocultando eficazmente los exploits incluso de aquellos que descifran la sesión TLS para capturar el tráfico HTTP en texto plano."
A pesar de los esfuerzos por mantener el CVE-2022-2294 en secreto, Avast consiguió recuperar el código de ataque, que aprovechaba un desbordamiento de heap en WebRTC para ejecutar shellcode malicioso dentro de un proceso de renderización. La recuperación permitió a Avast identificar la vulnerabilidad e informar a los desarrolladores para que la arreglaran. La empresa de seguridad no pudo obtener un exploit de día cero separado que era necesario para que el primer exploit pudiera escapar de la caja de arena de seguridad de Chrome. Esto significa que este segundo día cero vivirá para luchar otro día. Una vez que DevilsTongue se instaló, intentó elevar los privilegios del sistema mediante la instalación de un controlador de Windows que contenía otra vulnerabilidad sin parches, lo que elevó el número de días cero explotados en esta campaña a por lo menos tres. Una vez instalado el controlador no identificado, DevilsTongue aprovechaba el fallo de seguridad para acceder al kernel, la parte más sensible de cualquier sistema operativo. Los investigadores de seguridad llaman a esta técnica BYOVD, abreviatura de "bring your own vulnerable driver". Permite al malware vencer las defensas del sistema operativo, ya que la mayoría de los controladores tienen acceso automático al núcleo del sistema. Avast ha informado del fallo al fabricante del controlador, pero no hay indicios de que se haya publicado un parche. En el momento de la publicación, sólo Avast y otro motor antivirus habían detectado el fallo del controlador. Dado que tanto Google como Microsoft parchearon CVE-2022-2294 a principios de julio, es muy probable que la mayoría de los usuarios de Chrome y Edge ya estén protegidos. Apple, sin embargo, corrigió la vulnerabilidad el miércoles, lo que significa que los usuarios de Safari deben asegurarse de que sus navegadores están actualizados. "Aunque no hay manera de saber con certeza si la vulnerabilidad WebRTC fue explotada por otros grupos también, es una posibilidad", escribió Vojtěšek. "A veces los días cero son descubiertos independientemente por múltiples grupos, a veces alguien vende la misma vulnerabilidad/explotación a múltiples grupos, etc. Pero no tenemos indicios de que haya otro grupo explotando este mismo día cero".