Hackers norcoreanos explotan el Zero-Day de Chromium para atacar al sector de las criptomonedas

Un actor de amenaza de Corea del Norte ha estado explotando una vulnerabilidad de día cero en Chromium para atacar a organizaciones de criptomonedas con el objetivo de obtener ganancias financieras, según un informe publicado hoy por Microsoft.

La vulnerabilidad, identificada como CVE-2024-7971, permite a los atacantes ejecutar código remoto en sistemas comprometidos.

Microsoft ha atribuido el ataque a Citrine Sleet, un agente de amenazas norcoreano conocido principalmente por atacar a las instituciones financieras, especialmente aquellas involucradas en criptomonedas. Este grupo realiza un extenso reconocimiento del sector de las criptomonedas y emplea tácticas sofisticadas de ingeniería social.

Estas tácticas incluyen la creación de sitios web falsos que imitan a las plataformas legítimas de comercio de criptomonedas para distribuir software malicioso, como solicitudes de empleo falsas o carteras de criptomonedas armadas.

La cadena de ataque implicó explotar la vulnerabilidad de Chromium, ejecutar código malicioso y desplegar el rootkit FudModule. Este rootkit es un sofisticado malware que puede evadir la detección y otorgar a los atacantes privilegios elevados en sistemas comprometidos.

Ha estado en uso desde 2021, con su variante más temprana explotando drivers vulnerables para obtener acceso de administrador a kernel, una técnica conocida como “trae tu propio driver vulnerable”.

El rootkit FudModule, previamente atribuido a Diamond Sleet, otro actor de amenazas norcoreano, sugiere una posible compartición de herramientas o infraestructuras entre los dos grupos, según informa Microsoft.

Para mitigar la amenaza, Microsoft recomienda actualizar los sistemas con los últimos parches de seguridad, habilitar las funciones de protección contra manipulaciones y protección de red de Microsoft Defender para Endpoint, y ejecutar EDR en modo de bloqueo. Además, los clientes deben estar alerta ante cualquier actividad sospechosa e informar de cualquier incidencia inusual a sus equipos de seguridad.

Además, Microsoft ofrece orientación detallada para la detección y consultas de búsqueda para que los clientes puedan identificar y responder a las amenazas relacionadas dentro de sus redes.