Hacker russi sfruttano falle in Safari e Chrome: colpiti i dispositivi non aggiornati

I ricercatori di sicurezza informatica hanno individuato diverse campagne di attacchi che sfruttano vulnerabilità nei browser Safari e Chrome, ora corrette, per infettare dispositivi mobili con malware che ruba informazioni.

Queste campagne, segnalate dal Google Threat Analysis Group (TAG), hanno utilizzato exploit già noti e per cui erano disponibili patch, ma che risultavano ancora efficaci contro dispositivi non aggiornati.

Gli attacchi, osservati tra novembre 2023 e luglio 2024, si sono distinti per l’uso di tecniche di watering hole, ovvero la compromissione di siti web visitati frequentemente da utenti specifici, come i siti del governo mongolo cabinet.gov[.]mn e mfa.gov[.]mn, per distribuire gli exploit.

L’intrusione è stata attribuita con una certa sicurezza a un gruppo di hacker sponsorizzato dalla Russia, noto come APT29 (o Midnight Blizzard). Ci sono infatti evidenti somiglianze tra gli exploit usati e quelli precedentemente collegati a fornitori di spyware commerciali come Intellexa e NSO Group, suggerendo un possibile riutilizzo degli exploit.

Le vulnerabilità sfruttate includono:

• CVE-2023-41993: una falla di WebKit che consente l’esecuzione di codice arbitrario quando si visualizzano contenuti web appositamente creati (corretta da Apple a settembre 2023).
• CVE-2024-4671: una falla di tipo use-after-free nel componente Visuals di Chrome, che permette l’esecuzione di codice arbitrario (corretta da Google a maggio 2024).
• CVE-2024-5274: una falla di tipo confusion nel motore V8 di JavaScript e WebAssembly che permette l’esecuzione di codice arbitrario (corretta da Google a maggio 2024).

Gruppi di hacker di Stato stanno sfruttando n-day exploit già utilizzati in passato come zero-day da fornitori di spyware commerciali.

Le campagne di novembre 2023 e febbraio 2024 hanno compromesso i siti del governo mongolo per distribuire un exploit tramite un iframe dannoso che puntava a un dominio controllato dagli hacker. Gli hacker si sono quindi avvalsi di un elemento HTML integrato nelle pagine web dei siti compromessi, che ha caricato contenuti da un’altra fonte in grado di eseguire codice pericoloso. Ciò nella maggior parte dei casi avviene senza che l’utente se ne accorga.

Quando questi siti venivano visitati con un dispositivo iOS, come un iPhone o un iPad, un payload di ricognizione veniva scaricato per eseguire controlli preliminari, prima di distribuire un exploit che rubava i cookie del browser.

Questo exploit è simile a uno utilizzato nel 2021 per rubare cookie di autenticazione da vari siti popolari, come Google e Facebook, inviandoli poi a un server controllato dagli attaccanti. Gli attacchi erano mirati principalmente a funzionari governativi di paesi europei, che ricevevano link dannosi tramite messaggi su LinkedIn.

A luglio 2024, il sito mfa.gov[.]mn è stato nuovamente compromesso per reindirizzare gli utenti Android che utilizzavano Chrome a un link dannoso, che sfruttava due vulnerabilità per installare un malware capace di rubare informazioni come cookie, password e dati delle carte di credito.

Questi attacchi evidenziano come gruppi di hacker sponsorizzati dallo Stato stiano sfruttando vulnerabilità già note (n-day exploit) che erano state utilizzate in passato come zero-day da fornitori di spyware commerciali. Ciò solleva il dubbio che tali exploit possano essere stati acquistati da broker di vulnerabilità, alimentando un mercato che continua a prosperare nonostante gli sforzi di Apple e Google per rafforzare la sicurezza dei loro prodotti.

Gli attacchi di tipo watering hole rimangono una minaccia significativa, in grado di colpire gruppi specifici di utenti, inclusi quelli che utilizzano dispositivi mobili, attraverso l’uso di exploit sofisticati che possono risultare efficaci anche su browser non aggiornati.