Uma campanha sofisticada de malware que explora a dominância de mercado do Google Chrome deixou profissionais de segurança em alerta máximo. O novo vetor de ameaça identificado usa a marca confiável do Chrome como camuflagem enquanto entrega múltiplos estágios de carga maliciosa capazes de comprometer completamente o sistema.
Análise Técnica:
O malware emprega um sistema de entrega em múltiplos estágios que começa com extensões do Chrome comprometidas que contornam o processo de verificação da Web Store. Uma vez instaladas, essas extensões baixam cargas maliciosas secundárias que exploram:
- CVE-2023-7024 (vulnerabilidade de corrupção de memória WebGL no Chrome)
- Falhas de dia zero na API de Acesso ao Sistema de Arquivos do Chrome
Características Comportamentais:
- Se passa por processos de atualização do Chrome (chrome_update.exe)
- Implementa process hollowing para injetar código malicioso em processos legítimos do sistema
- Estabelece conexões C2 persistentes usando DNS-sobre-HTTPS (DoH) para maior discrição
Avaliação de Impacto:
As capacidades do malware incluem:
- Keylogging e roubo de credenciais
- Sequestro de sessões do navegador
- Implantação de módulos de ransomware
- Estabelecimento de shells reversos para acesso remoto
Recomendações de Mitigação:
- Empresas:
- Implementar listas de permissão para extensões
- Implantar ferramentas de análise comportamental
- Monitorar rigorosamente o tráfego DoH
- Usuários Individuais:
- Verificar todas as permissões de extensões
- Ativar o modo de Proteção Avançada do Chrome
- Auditar regularmente processos em execução em busca de instâncias suspeitas de chrome_update
A infraestrutura do malware mostra similaridades com campanhas anteriores atribuídas tanto a grupos de cibercrime russo quanto a atores patrocinados pelo estado norte-coreano, sugerindo possível colaboração ou compartilhamento de código no submundo do cibercrime.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.