Google a confirmé avoir corrigé une grave faille de sécurité dans son navigateur Internet Chrome qui permettait à des acteurs malveillants d'espionner des personnes et potentiellement de prendre le contrôle de leurs appareils.
Dans un article de blog, Adam Weidemann de la suite d'analyse des menaces de Google a déclaré que la faille était utilisée depuis le XNUMX janvier par deux entités de cybercriminalité distinctes.
Ces deux tenues sont connues sous le nom d'Operation Dream Job et d'Operation AppleJeus, et les deux auraient des liens étroits avec le gouvernement nord-coréen.
nettoyer les pistes
Selon Google, les deux suites utilisaient exactement la même vulnérabilité, mais leur approche, tout comme leurs objectifs, différaient. La société affirme que si Operation Dream Job s'adressait aux personnes qui travaillaient dans de grandes organisations de presse, des registraires de domaine, des revendeurs d'hébergement et des distributeurs de logiciels, Operation AppleJeus s'adressait aux personnes des secteurs de la crypto-monnaie et des jeux fintech.
Leurs méthodes étaient également différentes. Le premier acceptait l'identité des recruteurs, envoyait de fausses demandes d'emploi à Google, Oracle ou Disney, et distribuait des liens vers des sites imitant Indeed, ZipRecruiter ou DisneyCareers.
Ces sites étaient chargés avec une iframe cachée qui exploiterait la faille et permettrait l'exécution de code à distance.
Ce dernier, en revanche, a fait de même en créant de faux sites, mais a également compromis des sites légitimes et y a également installé les iframes militarisés.
Les chercheurs affirment également que les décors étaient bons pour cacher leurs traces une fois le travail terminé. S'ils parviennent à exécuter le code à distance, ils essaieront d'obtenir plus d'accès au point de destination et au point de terminaison, après quoi ils essaieront de supprimer toutes les indications de son existence.
"Attentifs à sauvegarder leurs exploits, les attaquants ont intégré de multiples protections pour empêcher les équipes de sécurité de récupérer l'une des étapes", écrit Weidemann.
Google affirme que les attaquants feraient apparaître les iframes « uniquement à des moments précis » et que les victimes obtiendraient des liens uniques qui expireraient une fois activés. Chaque étape de l’attaque était cryptée avec l’algorithme AES, et si l’une des étapes échouait, toute l’opération s’arrêtait.
La vulnérabilité a été corrigée le XNUMX février.
Via : Le Registre