Un grupo de hackers norcoreanos, identificado como Citrine Sleet por los investigadores de ciberseguridad de Microsoft, ha explotado una vulnerabilidad de día cero en Chromium. El motor que impulsa navegadores web como Google Chrome, para lanzar ataques dirigidos a usuarios del sector de las criptomonedas. La vulnerabilidad fue descubierta y corregida el 21 de agosto, pero no antes de que los atacantes pudieran aprovecharla para infiltrar su malware característico en los sistemas de las víctimas. Esta brecha de seguridad es la tercera vulnerabilidad de día cero en Chromium detectada y parcheada este año, subrayando la importancia de mantener los navegadores web actualizados.
Hackers norcoreanos explotan vulnerabilidad de día cero en Chrome para atacar usuarios de criptomonedas
Descubrimiento de la vulnerabilidad y explotación
Los hackers de Citrine Sleet utilizaron técnicas avanzadas de ingeniería social para engañar a las víctimas y hacer que descargaran software malicioso. Crearon sitios web falsos que imitaban plataformas legítimas de comercio de criptomonedas. A través de estos sitios, distribuyeron ofertas de empleo falsas o aplicaciones de criptomonedas comprometidas, que parecían legítimas pero contenían código malicioso. Al convencer a los usuarios de descargar un monedero de criptomonedas o una aplicación de trading infectada, los atacantes lograban ejecutar código malicioso en los sistemas de las víctimas.
Una vez que el malware era instalado, los atacantes desplegaban el rootkit FudModule, permitiendo la ejecución remota de código en los sistemas comprometidos. Esto facilitaba la instalación del malware troyano AppleJeus, diseñado específicamente para recopilar información sobre los criptoactivos de las víctimas y, eventualmente, tomar control de ellos.
Relevancia del ataque y medidas de mitigación
Microsoft ha clasificado la identificación de Citrine Sleet con «confianza media», señalando que este grupo ha tenido como objetivo repetido al sector de las criptomonedas. El troyano AppleJeus, desarrollado por este grupo, también ha sido utilizado en el pasado por otro notorio grupo de hackers norcoreanos conocido como Lazarus Group. Sin embargo, Microsoft no ha especificado cuántos clientes se han visto afectados por este reciente ataque.
Google, propietario del motor Chromium, reaccionó rápidamente a la notificación de la vulnerabilidad por parte de Microsoft y lanzó un parche para corregir el problema solo dos días después de haber sido informado. Sin embargo, es crucial que los usuarios aseguren que sus navegadores estén actualizados a versiones más recientes que la 128.0.6613.84 para protegerse contra posibles ataques.
Historial de ataques de Citrine Sleet
Citrine Sleet fue identificado por primera vez en diciembre de 2022, cuando Microsoft lo denominó DEV-0139. En ese momento, el grupo utilizó identidades falsas en Telegram, haciéndose pasar por empleados del exchange de criptomonedas OKX, para engañar a las víctimas. Se les pedía a los objetivos que descargaran un archivo de Excel que contenía un malware capaz de crear una puerta trasera en el ordenador de la víctima, permitiendo así el acceso remoto y el control del sistema. Además, otros investigadores, como Kaspersky Labs, han denominado al grupo como «Chollima». Bajo este alias, se descubrió que habían infectado la aplicación 3CX softphone, que estaba dirigida a startups de inversión en criptomonedas utilizando nuevamente el malware AppleJeus.