Google har bekräftat att de har åtgärdat ett allvarligt säkerhetsfel i sin webbläsare Chrome som gjorde det möjligt för illvilliga aktörer att spionera på människor och eventuellt ta kontroll över deras enheter.
I ett blogginlägg hävdade Adam Weidemann från Googles Threat Analysis Suite att felet hade använts sedan den XNUMX januari av två separata cyberbrottsenheter.
Dessa två uppsättningar är kända som Operation Dream Job och Operation AppleJeus, och de två sägs ha nära band till den nordkoreanska regeringen.
rena spår
Enligt Google använde de två uppsättningarna exakt samma sårbarhet, men deras tillvägagångssätt, liksom deras mål, skiljer sig åt. Företaget säger att medan Operation Dream Job riktade sig till personer som arbetar på stora nyhetsorganisationer, domänregistratorer, värdleverantörer och mjukvarudistributörer, riktade sig Operation AppleJeus till personer inom fintech-krypterings- och spelindustrin.
Deras metoder var också olika. De förstnämnda accepterade identiteten för rekryterare, skickade in falska ansökningar om jobb på Google, Oracle eller Disney och distribuerade länkar till webbplatser som imiterade Indeed, ZipRecruiter eller DisneyCareers.
Dessa webbplatser laddades med en dold iframe som skulle utnyttja felet och tillåta exekvering av dold kod.
Den sistnämnda, å andra sidan, gjorde detsamma genom att skapa falska sajter, men äventyrade de legitima sajterna och installerade de beväpnade iframes på dem också.
Forskare hävdar också att uppsättningarna var bra på att dölja sina spår när jobbet var klart. Om de lyckas exekvera koden på distans kommer de att försöka få mer åtkomst till destinationens slutpunkt, varefter de kommer att försöka ta bort alla spår av dess existens.
"Uppmärksamma på att skydda sina bedrifter byggde angriparna in flera skyddsåtgärder för att förhindra säkerhetsteam från att återhämta sig något av stegen", skriver Weidemann.
Google hävdar att angripare skulle få iframes att visas "bara vid specifika tidpunkter" och att offren skulle få unika länkar som skulle upphöra att gälla när de aktiverats. Varje steg i attacken krypterades med AES-algoritmen, och om ett av stegen misslyckades stoppades hela operationen.
Sårbarheten åtgärdades den XNUMX februari.
Via: Registret