Предупредување за корисниците на „Google Chrome“

Сајбер-напад од озлогласената хакерска група Лазарус и нејзината подгрупа BlueNoroff откри нова ранливост во Google Chrome.

Групата користеше експлоатација од нула ден за да преземе целосна контрола врз заразените системи. Тоа е последниот во долгата низа сајбер напади поддржани од Северна Кореја.

Кампањата беше откриена кога Kaspersky Total Security откри нова верзија на малициозен софтвер Manuscrypt на компјутер во Русија.

Manuscrypt, алатка за потпис на групата Лазар, е во употреба од 2013 година. Се користи во повеќе од 50 документирани кампањи насочени кон влади, финансиски институции, платформи за криптовалути и многу повеќе. Сепак, овој случај е посебен бидејќи групата ретко таргетира директно поединци.

Истрагата ја проследи инфекцијата кон веб-страницата, detankzone[.]com, која се претставуваше како легитимна децентрализирана платформа за финансии (DeFi). Посетителите на страницата несвесно ја активираа експлоатацијата само со пристап до страницата преку Chrome. Играта, рекламирана како NFT онлајн борбена арена, беше само фасада која крие злонамерен код што го компромитира системот на корисникот преку прелистувачот.

Искористувањето, кое беше насочено кон новововедената функција во V8 JavaScript моторот на Chrome, им овозможи на напаѓачите да ги заобиколат безбедносните механизми на прелистувачот и да добијат далечинска контрола на погодените уреди.

Истражувачите на Kaspersky веднаш ја пријавија ранливоста до Google, кој објави лепенка во рок од два дена.

Ранливостите на Chrome искористени во овој напад се CVE-2024-4947 и V8 Sandbox Bypass што му дозволија на Lazarus да ги заобиколи функциите за заштита на меморијата на Chrome.

Додека Kaspersky се придржуваше до практиките за одговорно обелоденување, Мајкрософт, наводно, објави сличен извештај кој откри нулти-ден елемент од кампањата. Поради ова, Kaspersky објави дополнителни детали, предупредувајќи за сериозноста на ранливоста и потребата корисниците веднаш да ги ажурираат своите прелистувачи.