O Google anunciou a descoberta e o fechamento de uma vulnerabilidade no Chrome que permitia a execução remota de código no navegador. Acredita-se que essa vulnerabilidade tenha sido explorada por hackers norte-coreanos.
De acordo com a edição britânica do The Register, citando o funcionário do Google Adam Weidemann, a vulnerabilidade do Chrome foi identificada em 10 de fevereiro e está sendo explorada desde pelo menos 4 de janeiro – um erro no programa possibilitou comprometer o navegador da vítima, apreender controle do computador e realizar vigilância. O “público-alvo” dos serviços de inteligência norte-coreanos eram funcionários de empresas americanas na área de mídia, alta tecnologia, criptomoeda e fintech, mas é possível que os atacantes também atuassem em outros países e indústrias.
A exploração da vulnerabilidade foi realizada pelos grupos controlados por Pyongyang Operation Dream Job e Operation AppleJeus – eles usaram o mesmo código de exploração, mas agiram de acordo com cenários diferentes. Os hackers da Operação Dream Job visavam funcionários da mídia, registradores de domínio, ISPs e fornecedores de software. Os invasores se disfarçaram de especialistas em recursos humanos enviando e-mails falsos sobre vagas de emprego no Google, Oracle e Disney, disfarçando as mensagens como cartas reais de agências de recrutamento. Os usuários navegavam para sites com iframes ocultos que exploravam a vulnerabilidade para executar código arbitrário. O grupo Operation AppleJeus é especializado em pessoas envolvidas em criptomoedas ou empregadas no setor de fintech – elas também foram atraídas para sites de phishing com elementos iframe ocultos.
Usando o mecanismo JavaScript, um identificador de computador foi criado e, quando um determinado conjunto de condições foi atendido, o exploit foi lançado. Caso a execução remota do código fosse bem-sucedida, foi feita uma tentativa por meio do JavaScript de passar para uma nova etapa do ataque, na qual o código malicioso ultrapassou a sandbox do navegador e obteve acesso privilegiado à máquina como um todo.
Os hackers cobriram magistralmente seus rastros: links exclusivos foram enviados para todas as vítimas, que se tornaram inacessíveis após a primeira transição, cada etapa foi criptografada com o algoritmo AES e, se alguma das etapas falhasse, o trabalho adicional era interrompido. Um funcionário do Google esclareceu que a empresa conseguiu rastrear toda a cadeia de ataques no Chrome, e havia evidências de tentativas de implementar um cenário semelhante com Safari e Firefox, mas os vestígios desses ataques já foram destruídos.