Google ha publicado nuevos detalles sobre múltiples vulnerabilidades de días cero y días n que diferentes actores de amenazas han estado utilizando para comprometer dispositivos Android, iOS y Chrome.
en un analisis (se abre en una pestaña nueva) publicado en su blog de seguridad, Google dijo que detectó actores de amenazas dirigidos a usuarios de iOS con vulnerabilidades clasificadas como CVE-2022-42856 y CVE-2021-30900.
Estas vulnerabilidades permitieron a los piratas informáticos instalar software espía y malware comercial en los puntos finales de destino. (se abre en una pestaña nueva)que, entre otras cosas, incluía la instalación de rastreadores de ubicación, dijo el equipo de Google.
Campañas largas
Los mismos actores de amenazas apuntaron a dispositivos Android con GPU ARM para CVE-2022-4135, CVE-2022-38181 y CVE-2022-3723. Usaron estas fallas para instalar tipos desconocidos de malware, explicaron los investigadores.
«Cuando ARM lanzó una solución para CVE-2022-38181, varios proveedores, incluidos Pixel, Samsung, Xiaomi, Oppo y otros, no incorporaron el parche, lo que resultó en una situación en la que los atacantes pudieron explotar libremente el error durante varios meses. «, dice el análisis.
En una campaña separada, Google observó a los actores de amenazas que se dirigían a los usuarios del navegador de Internet de Samsung de los Emiratos Árabes Unidos, buscando CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 y CVE-2023-0266. Usarían estas fallas para implementar spyware C++ que les permitiera, entre otras cosas, extraer y descifrar datos de diferentes aplicaciones de chat y navegador.
Los atacantes estaban «altamente dirigidos», dijo Google.
«Estas campañas también pueden indicar que los proveedores de vigilancia comparten exploits y técnicas, lo que permite la proliferación de herramientas de piratería peligrosas».
El Grupo de Análisis de Amenazas (TAG) de Google, que publicó el informe, fue básicamente informado por el Laboratorio de Seguridad de Amnistía Internacional, BleepingEquipo informes, ya que esta organización publicó información sobre los dominios y la infraestructura utilizados en estos ataques.
“La campaña de software espía recién descubierta ha estado activa desde al menos 2020 y se dirigió a dispositivos móviles y de escritorio, incluidos los usuarios del sistema operativo Android de Google”, dijo Amnistía Internacional en su propio informe. «El spyware y los exploits de día cero se entregaron desde una extensa red de más de 1000 dominios maliciosos, incluidos dominios que falsifican sitios web de medios en varios países».
Vía: BleepingComputer (se abre en una pestaña nueva)