Hackers Norte-Coreanos Exploram Falha Zero-Day no Chromium para Atacar o Setor de Criptomoedas

Um ator de ameaças da Coreia do Norte tem explorado uma vulnerabilidade zero-day no Chromium para atacar organizações de criptomoedas visando ganho financeiro, de acordo com um relatório publicado hoje pela Microsoft.

A vulnerabilidade, identificada como CVE-2024-7971, permite que os atacantes executem código remoto em sistemas comprometidos.

A Microsoft atribuiu o ataque a Citrine Sleet, um ator de ameaças norte-coreano conhecido por visar principalmente instituições financeiras, especialmente aquelas envolvidas com criptomoedas. O grupo realiza extenso reconhecimento do setor de criptomoedas e emprega táticas sofisticadas de engenharia social.

Essas táticas incluem a criação de sites falsos que imitam plataformas legítimas de negociação de criptomoedas para distribuir software malicioso, como falsas candidaturas a empregos ou carteiras de criptomoedas armadas.

A cadeia de ataques envolveu a exploração da vulnerabilidade do Chromium, a execução de código malicioso e a implantação do rootkit FudModule. Este rootkit é um sofisticado malware que pode evitar a detecção e conceder aos atacantes privilégios elevados em sistemas comprometidos.

Ele vem sendo usado desde 2021, com sua primeira variante explorando drivers vulneráveis para obter acesso de administrador ao kernel, uma técnica conhecida como “traga seu próprio driver vulnerável”.

O rootkit FudModule, anteriormente atribuído a Diamond Sleet, outro ator de ameaças norte-coreano, sugere um possível compartilhamento de ferramentas ou infraestrutura entre os dois grupos, conforme relatado pela Microsoft.

Para mitigar a ameaça, a Microsoft recomenda atualizar os sistemas com as últimas correções de segurança, habilitar os recursos de proteção contra adulteração e proteção de rede do Microsoft Defender para Endpoint, e executar o EDR no modo de bloqueio. Além disso, os clientes devem estar atentos a atividades suspeitas e relatar quaisquer ocorrências incomuns para suas equipes de segurança.

Além disso, a Microsoft fornece orientações detalhadas de detecção e consultas de busca para que os clientes possam identificar e responder a ameaças relacionadas em suas redes.