Investigadores de ciberseguridad han identificado múltiples campañas de explotación dirigidas a usuarios de dispositivos móviles a través de vulnerabilidades ya parcheadas en navegadores como Apple Safari y Google Chrome. Según Clement Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, estas campañas se llevaron a cabo entre noviembre de 2023 y julio de 2024, explotando vulnerabilidades conocidas para entregar malware a dispositivos no parcheados.
En estas campañas, se utilizaron exploits de día cero para atacar a usuarios a través de sitios web legítimos del gobierno de Mongolia, como cabinet.gov[.]mn y mfa.gov[.]mn, utilizando un método conocido como ataque de sitio de confianza. Este tipo de ataque compromete sitios web visitados regularmente por los usuarios para inyectar malware y acceder a sus sistemas.
Las intrusiones se han atribuido con moderada confianza al actor de amenazas respaldado por el estado ruso, APT29 (Midnight Blizzard), revelando similitudes entre los exploits utilizados en estas campañas y los asociados previamente con los proveedores comerciales de vigilancia Intellexa y NSO Group.
Las vulnerabilidades utilizadas en estas campañas incluyen CVE-2023-41993, CVE-2024-4671 y CVE-2024-5274, todas las cuales han sido parcheadas por Apple y Google en fechas anteriores.
Las campañas de noviembre de 2023 y febrero de 2024 involucraron el compromiso de los sitios web del gobierno mongol para entregar exploits a dispositivos iOS mediante la utilización de iframes maliciosos. Estos iframes servían como punto de entrada para descargar exploits que permitían el robo de cookies de navegadores Safari, particularmente dirigido a funcionarios gubernamentales de Europa occidental.
En julio de 2024, el sitio mfa.gov[.]mn fue comprometido nuevamente para dirigir a usuarios de Android al malware que explotaba vulnerabilidades en Chrome. Este ataque resultó en el robo de información personal y financiera de los usuarios, incluidas cookies, contraseñas, datos de tarjetas de crédito, historial de navegación y tokens de confianza.
Es evidente que los ataques a través de sitios de confianza continúan representando una amenaza, ya que los exploits sofisticados pueden utilizarse para atacar a usuarios con navegadores no parcheados, especialmente en dispositivos móviles.
En resumen, la detección de estos ataques destaca la importancia de mantener los sistemas y el software actualizados y expone la persistencia de los actores estatales en la explotación de vulnerabilidades conocidas para llevar a cabo actividades maliciosas.
Vía The Hacker News
