{"id":21375,"date":"2024-11-05T20:57:11","date_gmt":"2024-11-05T23:57:11","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21375"},"modified":"2024-11-05T20:57:59","modified_gmt":"2024-11-05T23:57:59","slug":"vulnerabilidade-do-google-chrome-possibilita-controle-de-dispositivos-infectados","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/11\/exploits\/vulnerabilidade-do-google-chrome-possibilita-controle-de-dispositivos-infectados\/","title":{"rendered":"Vulnerabilidade do Google Chrome facilita controle de dispositivos infectados"},"content":{"rendered":"\n<p><strong>Lazarus Group explora vulnerabilidade do Google Chrome para controlar dispositivos infectados<\/strong><\/p>\n<p style=\"text-align: justify;\">O Lazarus Group, um conhecido grupo de amea\u00e7as cibern\u00e9ticas norte-coreano, foi recentemente associado \u00e0 explora\ufffc\u00e7\u00e3o de uma vulnerabilidade zero-day do Google Chrome, agora corrigida, para obter controle total sobre dispositivos infectados. A descoberta foi feita pela empresa de seguran\u00e7a Kaspersky, que encontrou uma cadeia de ataques inovadora em maio de 2024, comprometendo o computador pessoal de um cidad\u00e3o russo atrav\u00e9s de um backdoor chamado Manuscrypt.<\/p>\n<p>\u00a0<\/p>\n<p><strong>A campanha maliciosa do Lazarus Group<\/strong><\/p>\n<p style=\"text-align: justify;\">A campanha de ataques, que teve in\u00edcio em fevereiro de 2024, envolvia um site de jogo falso, o &#8220;detankzone[.]com&#8221;, projetado para atrair indiv\u00edduos do setor de criptomoedas. Esse site, \u00e0 primeira vista, parecia uma p\u00e1gina de produto profissional, promovendo um jogo de batalha online baseado em tokens n\u00e3o fung\u00edveis (NFTs) com tem\u00e1tica de tanques e que operava em finan\u00e7as descentralizadas (DeFi). O site convidava os usu\u00e1rios a baixarem uma vers\u00e3\ufffco de teste do jogo, mas na verdade escondia um script malicioso que explorava uma vulnerabilidade zero-day no Chrome. Ao visitar o site os usu\u00e1rios sem saber davam acesso total aos atacantes para controlar seus dispositivos.<\/p>\n<p style=\"text-align: justify;\">A vulnerabilidade explorada, conhecida como CVE-2024-4947 \u00e9 um bug de confus\u00e3o de tipo no motor JavaScript e WebAssembly V8 do Chrome. A Google corrigiu essa falha em maio de 2024. A t\u00e9cnica de esconder o malware em um jogo de tanques lembra pr\u00e1ticas atribu\u00eddas a outro grupo de atividade cibern\u00e9tica norte-coreano chamado Moonstone Sleet, que tamb\u00e9m usa jogos maliciosos para atingir seus alvos.<\/p>\n<p>\u00a0<\/p>\n<p><strong>O modo de opera\u00e7\u00e3o utiliza engenharia social e explora\u00e7\u00e3o de vulnerabilidades<\/strong><\/p>\n<p style=\"text-align: justify;\">Os ataques do Lazarus Group envolveram estrat\u00e9gias avan\u00e7adas de engenharia social para enganar suas v\u00edtimas, abordando alvos em plataformas de mensagens e e-mails e se passando por empresas de blockchain ou desenvolvedores de jogos em busca de investimentos. A Kaspersky destacou que a campanha \u00e9 composta por v\u00e1rias etapas e explora\u00e7\u00f5es, entre elas:<\/p>\n<ul>\n<li>\n<p style=\"text-align: justify;\"><strong>Explora\u00e7\u00e3o do CVE-2024-4947<\/strong>: Essa vulnerabilidade concedeu aos invasores acesso de leitura e grava\u00e7\u00e3o ao espa\u00e7o de endere\u00e7o do processo do Chrome diretamente a partir do JavaScript.<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Bypass da Sandbox do V8<\/strong>: Uma segunda vulnerabilidade explorada permitia que os atacantes acessassem a mem\u00f3ria fora dos limites do array de registros da m\u00e1quina virtual, evitando a sandbox do V8. Esse problema foi corrigido pela Google em mar\u00e7o de 2024 ap\u00f3s um relat\u00f3rio de bug submetido em 20 de mar\u00e7o. Ainda n\u00e3o se sabe se o Lazarus descobriu e explorou essa vulnerabilidade antes da corre\u00e7\u00e3o ou se a utilizou ap\u00f3s sua divulga\u00e7\u00e3o.<\/p>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Ap\u00f3s a explora\u00e7\u00e3o bem-sucedida dessas vulnerabilidades, os atacantes rodavam um validador em forma de shellcode, respons\u00e1vel por coletar informa\u00e7\u00f5es do sistema para verificar se o dispositivo infectado continha dados valiosos. O payload final do ataque, no entanto permanece desconhecido.<\/p>\n<p>\u00a0<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"loaded aligncenter\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEinwNjBpuRYr9rX9hg0FqvHRmTd2O6NUEpwtUkqCuMWlN4tCAkG2z_cszFriKL77mj-IitE3rq7OvHe_dfNUZ_cgJPFhkDjorX_eBt6tRB-x3cNC7NjJmyeug5ecq-81jzH_NNVmc6xz5-ue3CMqJZocXE7edL756itdU6xBTKPPVi7Q3hJ1GOv1vM8wAOl\/s728-rw-e365\/game.png\" alt=\"\" width=\"623\" height=\"351\" border=\"0\" data-original-height=\"1080\" data-original-width=\"1920\" \/><\/p>\n<p>\u00a0<\/p>\n<p><strong>Constru\u00e7\u00e3o de presen\u00e7a online e manipula\u00e7\u00e3o de redes sociais<\/strong><\/p>\n<p style=\"text-align: justify;\">Al\u00e9m do uso de vulnerabilidades t\u00e9cnicas, o Lazarus Group demonstrou habilidade em construir uma presen\u00e7a online e realizar campanhas complexas de engenharia social. Segundo a Kaspersky, os atacantes mantiveram atividade constante em plataformas como X (anteriormente Twitter) e LinkedIn, onde postavam regularmente conte\u00fados de divulga\u00e7\u00e3o de seu jogo falso. Para isso, usaram contas m\u00faltiplas e produziram conte\u00fado com aux\u00edlio de intelig\u00eancia artificial generativa e designers gr\u00e1ficos, dando um ar de legitimidade \u00e0 campanha.<\/p>\n<p style=\"text-align: justify;\">Essa estrat\u00e9gia visava atrair influenciadores e figuras de destaque no espa\u00e7o das criptomoedas para promover o site malicioso e atrair mais v\u00edtimas. Al\u00e9m disso, o site tamb\u00e9m oferecia um arquivo ZIP (\u201cdetankzone.zip\u201d), que ao ser executado, funcionava como um jogo real, exigindo registro do jogador, mas escondendo um loader personalizado chamado YouieLoad, conforme detalhado pela Microsoft em investiga\u00e7\u00f5es anteriores.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Suspeita de roubo de c\u00f3digo-fonte<\/strong><\/p>\n<p style=\"text-align: justify;\">Para construir o jogo malicioso, o Lazarus Group pode ter roubado o c\u00f3digo-fonte de um jogo leg\u00edtimo, chamado DeFiTankLand (DFTL). Em mar\u00e7o de 2024, o DeFiTankLand sofreu um ataque que resultou no roubo de aproximadamente $20.000 em moedas DFTL2. Embora os desenvolvedores tenham inicialmente culpado um insider pelo ataque, a Kaspersky acredita que o Lazarus Group pode estar envolvido, usando o c\u00f3digo-fonte roubado para desenvolver seu pr\u00f3prio jogo fraudulento e alcan\u00e7ar seus objetivos maliciosos.<\/p>\n<p>\u00a0<\/p>\n<p><strong>A evolu\u00e7\u00e3o das t\u00e1ticas do Lazarus Group<\/strong><\/p>\n<p style=\"text-align: justify;\">A Kaspersky enfatizou que o Lazarus Group \u00e9 um dos atores de amea\u00e7as persistentes avan\u00e7adas (APT) mais sofisticados e ativos na atualidade, com um foco constante em obter ganhos financeiros. A equipe de pesquisa notou que as t\u00e1ticas do grupo evoluem rapidamente, e que eles t\u00eam explorado o uso de IA generativa para criar campanhas de engenharia social cada vez mais convincentes.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O ataque recente revela a combina\u00e7\u00e3o de t\u00e9cnicas avan\u00e7adas e a persist\u00eancia do Lazarus Group, que busca evoluir constantemente suas estrat\u00e9gias para maximizar o impacto. A explora\u00e7\u00e3o de vulnerabilidades zero-day e a utiliza\u00e7\u00e3o de t\u00e9cnicas de engenharia social sofisticadas mostram como grupos de amea\u00e7as cibern\u00e9ticas est\u00e3o se adaptando e utilizando novos recursos para comprometer dispositivos e roubar informa\u00e7\u00f5es.<\/p>\n<p style=\"text-align: justify;\">Para os usu\u00e1rios, especialmente aqueles envolvidos no setor de criptomoedas e blockchain \u00e9 essencial tomar medidas de seguran\u00e7a, como manter os softwares sempre atualizados e utilizar navegadores e sistemas de seguran\u00e7a avan\u00e7ados. A vigil\u00e2ncia e a educa\u00e7\u00e3o sobre as amea\u00e7as s\u00e3o fundamentais para evitar cair em campanhas maliciosas como as promovidas pelo Lazarus Group.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2024\/10\/lazarus-group-exploits-google-chrome.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2024\/10\/lazarus-group-exploits-google-chrome.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Lazarus Group explora vulnerabilidade do Google Chrome para controlar dispositivos infectados O Lazarus Group, um conhecido grupo de amea\u00e7as cibern\u00e9ticas norte-coreano, foi recentemente associado \u00e0 explora\ufffc\u00e7\u00e3o de uma vulnerabilidade zero-day do Google Chrome, agora corrigida, para obter controle total sobre dispositivos infectados. A descoberta foi feita pela empresa de seguran\u00e7a Kaspersky, que encontrou uma cadeia [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21382,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21375","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21375","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21375"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21375\/revisions"}],"predecessor-version":[{"id":21384,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21375\/revisions\/21384"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21382"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21375"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21375"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21375"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}