[28/03/2025] Kaspersky ha identificado y ayudado a corregir una sofisticada vulnerabilidad de día cero en Google Chrome (CVE-2025-2783) que permitía a los atacantes eludir el sistema de protección de la sandbox del navegador. El exploit, descubierto por el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky, no requería interacción por parte del usuario más allá que hacer clic en un enlace malicioso y demuestra una complejidad técnica excepcional.
Según lo señalado en el comunicado de prensa, a mediados de marzo del 2025, Kaspersky detectó una ola de infecciones provocadas cuando los usuarios hicieron clic en enlaces de phishing personalizados entregados por correo electrónico. "Después de hacer clic, no era necesario realizar ninguna acción adicional para comprometer sus sistemas. Una vez que el análisis de Kaspersky confirmó que el exploit aprovechaba una vulnerabilidad previamente desconocida en la última versión de Google Chrome, Kaspersky alertó rápidamente al equipo de seguridad de Google. Un parche de seguridad para la vulnerabilidad fue lanzado el 25 de marzo del 2025”, sostuvo Boris Larin, investigador principal de seguridad en Kaspersky GReAT.
El analista comentó que los investigadores de Kaspersky bautizaron la campaña como "Operación ForumTroll", ya que los atacantes enviaron correos electrónicos de phishing personalizados invitando a los destinatarios al foro "Primakov Readings”. "Estos cebos estaban dirigidos a medios de comunicación, instituciones educativas y organizaciones gubernamentales en Rusia. Los enlaces maliciosos fueron extremadamente efímeros para evadir la detección y, en la mayoría de los casos, redirigieron finalmente al sitio web legítimo de "Primakov Readings” una vez que el exploit fue eliminado”.
Larin añadió que la vulnerabilidad de día cero en Chrome fue solo parte de una cadena que incluyó al menos dos exploits: un exploit de ejecución remota de código (RCE) aún no obtenido que aparentemente lanzó el ataque, mientras que la fuga de sandbox descubierta por Kaspersky constituyó la segunda etapa. "El análisis de la funcionalidad del malware sugiere que la operación fue diseñada principalmente para espionaje. Toda la evidencia apunta a un grupo de Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés)”.
El ejecutivo anotó, asimismo que, esta vulnerabilidad destaca entre las docenas de vulnerabilidades de día cero que han descubierto a lo largo de los años. "El exploit eludió la protección de la sandbox de Chrome sin realizar operaciones evidentemente maliciosas; es como si el límite de seguridad simplemente no existiera. La sofisticación técnica mostrada aquí indica el desarrollo por actores altamente capacitados con recursos sustanciales. Recomendamos encarecidamente a todos los usuarios que actualicen su Google Chrome y cualquier navegador basado en Chromium a la última versión para protegerse contra esta vulnerabilidad.”
Kaspersky continúa investigando la Operación ForumTroll. Se publicarán más detalles, incluyendo un análisis técnico de los exploits y la carga útil maliciosa, en un próximo informe una vez que se haya asegurado la seguridad de los usuarios de Google Chrome.
Este descubrimiento sigue a la identificación previa por parte de Kaspersky GReAT de otro exploit de día cero en Chrome (CVE-2024-4947), que fue explotado el año pasado por el grupo APT Lazarus en una campaña de robo de criptomonedas. En ese caso, los investigadores de Kaspersky encontraron un error de confusión de tipos en el motor de JavaScript V8 de Google que permitía a los atacantes eludir las características de seguridad a través de un sitio web falso de criptogames.
Franca Cavassa, CTOPerú