Google Chrome a récemment reçu un correctif pour une vulnérabilité ciblant les plateformes de cryptomonnaie. La faille de sécurité a été classée comme zero-day, ce qui signifie qu'elle a existé pendant un certain temps à l'insu de l'entreprise. On sait désormais que des pirates nord-coréens ont profité de la faille zero-day de Chrome pour injecter des malwares et un rootkit.

La vulnérabilité affectait à la fois Chrome et les navigateurs tiers basés sur Chromium, comme Edge. Microsoft a donc fourni des détails plus précis dans un article de blog. CVE-2024-7971, la vulnérabilité suivie, vise à exécuter du code à distance et à installer le rootkit FudModule sur l'appareil de la victime. Les attaquants ont également profité de CVE-2024-38106, une vulnérabilité dans le noyau Windows, pour obtenir des privilèges SYSTEM. Microsoft a également corrigé cette vulnérabilité récemment.

Des pirates informatiques nord-coréens ont exploité la vulnérabilité zero-day de Chrome avant qu'elle ne soit repérée

Une vulnérabilité zero-day est une vulnérabilité dont le développeur du logiciel n'a pas connaissance. Par conséquent, des tiers malveillants pourraient l'exploiter puisqu'il n'existe pas encore de correctif officiel. Le nom « zero-day » vient du fait que le développeur n'a aucun jour pour la corriger une fois repérée, car elle peut déjà être exploitée. Dans le cas de Chromium, le composant affecté était V8, le moteur d'exécution de code JavaScript du navigateur.

Le moteur V8 de Chromium était vulnérable aux attaques basées sur la confusion de type. Selon MITRE, ce type d'attaque « alloue ou initialise une ressource telle qu'un pointeur, un objet ou une variable en utilisant un type, mais accède ensuite à cette ressource en utilisant un type incompatible avec le type d'origine ». Les attaques basées sur la confusion peuvent « déclencher des erreurs logiques car la ressource n'a pas les propriétés attendues », ce qui entraîne un accès à la mémoire hors limites. Après cela, les attaquants pouvaient exécuter du code à distance dans le navigateur, dont ils ont profité pour rediriger l'utilisateur vers le site Web malveillant voyagorclub[.]espace.

À ce stade, les attaquants cherchent à installer un exploit ciblant la vulnérabilité Windows CVE-2024-38106 mentionnée ci-dessus. Si l'attaque réussissait, les attaquants auraient réussi à obtenir les privilèges SYSTEM, ce qui est une mauvaise nouvelle. Les pirates disposaient même de méthodes avancées pour contourner les protections de sécurité au niveau du noyau. Ils ont injecté le rootkit FudModule, qui leur permet d'écrire dans le noyau et de le manipuler à volonté. Les attaques basées sur FudModule sont connues sous le nom d'opérations de manipulation directe d'objets du noyau (DKOM).

Microsoft accuse le groupe sud-coréen Citrine Sleet

Selon Microsoft, le groupe de hackers nord-coréen Citrine Sleet exploitait la combinaison de vulnérabilités de Chrome et de Windows. Le géant de Redmond affirme que le groupe « cible principalement les institutions financières, en particulier les organisations et les particuliers qui gèrent des cryptomonnaies, pour en tirer un profit financier ». Des groupes similaires utilisent souvent des méthodes d’attaque telles que le clonage de plateformes ou la trojanisation de logiciels pop-uk. Ils ont même infecté X_TRADER, un logiciel d’automatisation de trading boursier populaire, après avoir « piraté » son site Web officiel.

Il est intéressant de noter que d’autres fournisseurs de cybersécurité suivent ces attaques sous des noms tels qu’AppleJeus, Labyrinth Chollima et UNC4736. Cela suggère que même s’il s’agit de groupes différents, ils partagent tous des technologies et des méthodes. Il devrait être impossible d’utiliser le « truc » des pirates informatiques à l’heure actuelle. Cependant, il serait intéressant de savoir combien de plateformes ont été victimes d’attaques similaires. Étant donné que le rootkit FudModule a été détecté pour la première fois en 2022, il est possible que les pirates exploitent cette méthode depuis au moins deux ans.

A lire également