Home Sociedad Los días cero de Apple y Chrome, parcheados recientemente, explotan en ataques...

Los días cero de Apple y Chrome, parcheados recientemente, explotan en ataques de software espía

Investigadores de seguridad del Citizen Lab y el Threat Analysis Group (TAG) de Google revelaron hoy que se abusó de tres días cero parcheados por Apple el jueves como parte de una cadena de exploits para instalar el software espía Predator de Cytrox.

Entre mayo y septiembre de 2023, los atacantes explotaron los errores (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) en ataques utilizando SMS señuelo y mensajes de WhatsApp dirigidos al ex parlamentario egipcio Ahmed Eltantawy después de anunciar planes para unirse a las elecciones presidenciales egipcias de 2024.

“En agosto y septiembre de 2023, la conexión móvil Vodafone Egipto de Eltantawy fue seleccionada persistentemente para su focalización mediante inyección de red”, explicó Citizen Lab.

“Cuando Eltantawy visitó ciertos sitios web que no usaban HTTPS, un dispositivo instalado en la frontera de la red de Vodafone Egipto lo redirigió automáticamente a un sitio web malicioso para infectar su teléfono con el software espía Predator de Cytrox”.

En dispositivos iOS, el exploit de día cero de los atacantes utilizó CVE-2023-41993 para la ejecución remota inicial de código (RCE) en Safari utilizando páginas web creadas con fines malintencionados, el error CVE-2023-41991 para omitir la validación de firmas y CVE-2023- 41992 para escalada de privilegios del kernel.

La cadena de exploits se activó automáticamente después de la redirección, implementando y ejecutando un binario malicioso diseñado para elegir si el implante de software espía debía instalarse en el dispositivo comprometido.

Google TAG también observó que los atacantes utilizaban una cadena de explotación separada para colocar software espía Predator en dispositivos Android en Egipto, explotando CVE-2023-4762 (un error de Chrome corregido el 5 de septiembre) como día cero para obtener la ejecución remota de código.

El equipo de arquitectura e ingeniería de seguridad de Apple confirmó hoy que el modo de bloqueo de iOS habría bloqueado el ataque.

Citizen Lab instó a todos los usuarios de Apple en riesgo a instalar las actualizaciones de seguridad de emergencia de Apple y habilitar el modo de bloqueo para frustrar posibles ataques que exploten esta cadena de exploits.

“Dado que Egipto es un cliente conocido del software espía Predator de Cytrox, y que el software espía se entregó mediante inyección de red desde un dispositivo ubicado físicamente dentro de Egipto, atribuimos el ataque de inyección de red al gobierno egipcio con gran confianza”, añadió Citizen Lab.

Los investigadores de seguridad de Citizen Lab revelaron otros dos días cero (CVE-2023-41061 y CVE-2023-41064), corregidos por Apple en actualizaciones de seguridad de emergencia a principios de este mes, abusados como parte de otra cadena de exploits de clic cero (denominada BLASTPASS) para infectar iPhones completamente parcheados con el software espía Pegasus de NSO Group.