Investigadores de ciberseguridad de Microsoft identificaron una vulnerabilidad de día cero (zero-day vulnerability) en Chromium, el motor que hace funcionar el navegador web Chrome y otros, que había sido explotada por el grupo de hackers norcoreano al que llaman Citrine Sleet. La vulnerabilidad fue parcheada el 21 de agosto, por lo que es importante que los usuarios actualicen sus navegadores.
Microsoft identificó a Citrine Sleet con "confianza media". El grupo es conocido por tener como objetivo el sector de las criptomonedas y es el desarrollador del malware troyano AppleJeus, que también ha sido utilizado por los hackers del Lazarus Group.
Tercera vulnerabilidad de día cero en el año
Microsoft ha notificado la vulnerabilidad a los clientes afectados, pero no ha dicho cuántos clientes se han visto comprometidos. Se trata de la tercera vulnerabilidad explotada de este tipo que se ha parcheado en Chromium este año. Google, propietario del motor Chromium, parcheó la vulnerabilidad dos días después de que se informara de ella.
Los hackers utilizaron el malware rootkit FudModule para conseguir la ejecución remota de código. Para ello, utilizaron sofisticadas tácticas de ingeniería social:
"El actor de la amenaza crea sitios web falsos que se hacen pasar por plataformas legítimas de comercio de criptomonedas y los utiliza para distribuir solicitudes de empleo falsas o atraer a los objetivos para que descarguen un monedero de criptomonedas o una aplicación de comercio basada en aplicaciones legítimas que usan como arma".
Después de eso, el grupo solía instalar AppleJeus, que recopilaba la información necesaria para tomar el control de los criptoactivos del objetivo. Las versiones de Chrome anteriores a la 128.0.6613.84 son vulnerables al ataque.
Los hackers recorrieron un camino conocido
Citrine Sleet se detectó por primera vez en diciembre de 2022, cuando Microsoft lo denominó DEV-0139. En ese momento, creó identidades falsas en Telegram haciéndose pasar por empleados del exchange de criptomonedas OKX. Se pedía a los objetivos que evaluaran un documento de Excel que contenía información precisa sobre las estructuras de comisiones de varios exchanges, así como un archivo malicioso que creaba una puerta trasera en el ordenador del objetivo.
Fuente: Microsoft Threat Intelligence
Otros investigadores han llamado "Chollima" a Citrine Street. Bajo ese nombre, Kaspersky Labs descubrió que había infectado la aplicación de 3CX softphone, dirigida a startups de inversión en criptomonedas mediante AppleJeus.
- Magazine: 4 de cada 10 ventas de NFT son falsas: Aprende a detectar las señales de las operaciones de lavado
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.