A página principal deste site foi infetada por um código Javascript malicioso que, por sua vez, carregava um script de identificação para um servidor remoto, para verificar se o sistema da vítima poderia ser infetado, examinando as versões do navegador utilizado. O ataque tentava então explorar a vulnerabilidade no navegador Google Chrome através de um script que verificava se estava a ser utilizada a versão 65 do navegador ou a anterior. Esse exploit dava ao criminoso uma condição de Use-After-Free (UaF), que é bastante perigosa, pois permite cenários onde a execução de códigos maliciosos é permitida.

Se o sistema operativo e o navegador cumprirem com os requisitos, o script descarrega o exploit por fragmentos e depois, monta-o e decifra-o. A primeira coisa que este exploit faz é comprovar a versão do Chrome. Nessa etapa, torna-se mais seletivo e funciona exclusivamente com o Chrome 76 ou 77, embora possa haver outros exploits para diferentes versões do navegador.

Depois de encontrar o que procura, o exploit tenta aproveitar a vulnerabilidade CVE-2019-13720, do tipo use-after-free que se baseia no uso inadequado da memória do computador. Ao manipular a memória, o exploit obtém permissão para ler e escrever dados no dispositivo, que usa imediatamente para descarregar, decifrar e executar o malware.

A vulnerabilidade detetada foi usada no que os especialistas da Kaspersky chamam de "Operação WizardOpium". Certas semelhanças no código apontam para um possível vínculo entre esta campanha e os ataques realizados pelo grupo Lazarus. Além disso, o perfil do site de destino é semelhante ao encontrado em ataques anteriores como o DarkHotel, que implementaram recentemente ataques comparáveis de bandeira falsa.

Esta vulnerabilidade foi detetada pela tecnologia Kaspersky Exploit Prevention, incorporada em dois produtos da empresa.

“A descoberta do zero-day no Google Chrome demonstra, mais uma vez, que apenas a colaboração entre a comunidade de segurança e os developers de software, bem como o investimento constante em tecnologias de prevenção, podem manter-nos protegidos contra-ataques repentinos e ocultos”, refere Anton Ivanov, especialista em segurança da Kaspersky.

Os produtos da Kaspersky detetam ameaça como PDM: Exploit.Win32.Generic.

Recomendações da Kaspersky 

A Kaspersky recomenda que as empresas tomem as seguintes medidas de segurança para se proteger:

• Instale o patch do Google o mais rápido possível;
• Atualize regularmente todos os softwares usados e sempre que um novo patch de segurança for lançado. Os produtos de segurança com funções de avaliação de vulnerabilidades e com gestão de patch incorporadas podem ajudar a automatizar esses processos;
• Escolha uma solução de segurança de qualidade, como o Kaspersky Endpoint Security for Business, equipada com recursos de deteção baseados em comportamento para proteção eficaz contra ameaças conhecidas e desconhecidas, incluindo exploits;
• Além de adotar a proteção para endpoints, implemente uma solução de segurança que detete ameaças avançadas na rede numa fase inicial, como o Kaspersky Anti Targeted Attack Platform;
• Verifique se sua equipa de segurança tem acesso às informações mais recentes sobre ciberameaças. Relatórios de inteligência sobre os últimos desenvolvimentos no cenário de ameaças estão disponíveis para os clientes do Kaspersky Intelligence Reporting. Para mais detalhes, entre em contato com: Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar..
• Por último, mas não menos importante, garanta que sua equipa tem a informação necessária para compreender e implementar os conceitos básicos de cibersegurança.

Mais informações sobre esta e outra ameaças podem ser encontradas em Securelist.