2min

Google geeft details vrij over recente malwarecampagnes die gebruikmaken van zero-day problemen. Er waren drie gerichte malwarecampagnes mee uitgevoerd, die fouten in Google Chrome, Internet Explorer en WebKit benutten.

“Op basis van onze analyse beoordelen we dat de Chrome- en Internet Explorer-exploits, zijn ontwikkeld en verkocht door dezelfde leverancier die bewakingsmogelijkheden biedt aan klanten over de hele wereld,” aldus Google.

Dit jaar zijn al 33 zero-day exploits openbaar gemaakt die bij aanvallen zijn gebruikt, 11 meer dan het totale aantal in 2020. Google schrijft een deel van de stijging in zero-days toe aan grotere inspanningen op het gebied van detectie en openbaarmaking, maar zei dat de stijging ook te wijten is aan de toename van commerciële leveranciers die toegang tot zero-day-kwetsbaarheden verkopen. Deze vier zero-days omvatten de exploits CVE-2021-1879 in Safari, CVE-2021-21166 en CVE-2021-30551 in Chrome en CVE-2021-33742 in Internet Explorer.

Safari

Met de Safari-zero-day-campagne gebruikten hackers LinkedIn Messaging tegen overheidsfunctionarissen uit West-Europese landen. Ze ontvingen links die ze naar door aanvallers gecontroleerde domeinen stuurden. Als het doelwit vanaf een iOS-apparaat op de link zou klikken, zou de geïnfecteerde website de aanval starten via de zero-day.

“Deze exploit zou de Same-Origin-Policy-beveiliging uitschakelen om authenticatiecookies van verschillende populaire websites, waaronder Google, Microsoft, LinkedIn, Facebook en Yahoo te verzamelen en deze via WebSocket naar een door een aanvaller beheerd IP-adres te sturen,” aldus Google TAG-onderzoekers. “Het slachtoffer zou een sessie op deze websites van Safari moeten openen om cookies met succes te kunnen exfiltreren.”

Google-onderzoekers zeiden dat de aanvallers waarschijnlijk deel uitmaakten van een door de Russische overheid gesteunde groep die de zero-day misbruikt om zich te richten op iOS-apparaten met oudere versies van iOS (12.4 tot 13.7). Het beveiligingsteam van Google meldde de zero-day aan Apple, dat op 26 maart een patch uitbracht via een iOS-update.

Chrome en IE

De twee Chrome-kwetsbaarheden waren zero-day-uitvoering van externe code en worden verondersteld door dezelfde actor te zijn gebruikt. Beide zero-days waren gericht op de nieuwste versies van Chrome op Windows en werden geleverd als eenmalige links die via e-mail werden verzonden. Wanneer een doelwit op de link klikte, werd deze naar door de aanvaller gecontroleerde domeinen gestuurd en werden vingerafdrukken van hun apparaat genomen voor informatie die de aanvallers gebruikten om te bepalen of ze de exploit al dan niet moesten leveren. Google zei dat alle doelen zich in Armenië bevonden.

De kwetsbaarheid van Internet Explorer werd ook ingezet tegen Armeense gebruikers. Zij ontvingen besmette Office-documenten, die webinhoud in de browser laadden.