Falha inédita no Chrome foi usada para espionar jornalistas e ativistas

Uma vulnerabilidade zero-day no Google Chrome estava sendo usada para espionar jornalistas, ativistas e outras figuras de interesse em pelo menos quatro países. O objetivo era instalar spyware nos computadores das vítimas para obtenção de informações sobre o dispositivo e assuntos de interesse.

• Países investem mais em espionagem digital e ataques contra inimigos políticos
• Apple apresenta recurso que protege donos do iPhone de espionagem

De acordo com a empresa de segurança Avast, responsável pela descoberta, o spyware DevilsTongue, desenvolvido pela empresa israelense Candiru, estava sendo usado nas contaminações. O relatório não indica a finalidade da operação de espionagem, mas dá para pensar que ela teria fins políticos devido ao caráter da corporação envolvida e, também, o objetivo do comprometimento, que aconteceu contra usuários da Turquia, Palestina, Iêmen e Líbano.

A brecha denominada CVE-202202294 estava em um sistema chamado WebRTC, uma API que permite realizar chamadas de voz ou vídeo e o compartilhamento de arquivos pelo navegador. A exploração começou a ser registrada em março deste ano a partir de sites aparentemente legítimos, sem que fosse preciso qualquer interação da vítima com anúncios, links ou demais elementos das páginas comprometidas.

Um dos casos, por exemplo, foi o de uma agência de notícias libanesa, que não foi identificada. Códigos JavaScript foram implantados para direcionar o acesso a servidores sob o controle dos criminosos, onde acontecia a exploração de buffer overflow, permitindo o acesso a partes anteriormente restritas da memória, onde era instalado o DevilsTongue. Na sequência, ele usava drivers para escalar privilégios e obter acesso a recursos do sistema, a partir de uma segunda vulnerabilidade zero-day.

Segundo a Avast, 50 pontos de dados eram extraídos após o comprometimento, incluindo idioma, informações de hardware, extensões instaladas, cookies baixados e tempo de utilização. A ideia seria obter informações sobre notícias e relatórios que estariam sendo pesquisados pelos alvos, com um sistema de validação que enviava dados aos servidores dos criminosos ou não de acordo com o que era encontrado pela praga.

Outra hipótese, voltada especificamente a jornalistas e ativistas da causa humanitária, é a busca pelas identidades de fontes ou pessoas que estão sendo auxiliadas. Tais dados podem ser mantidos publicamente em sigilo, mas a partir de pesquisas em redes sociais ou registros de conversas, por exemplo, seria possível obter informações sobre quem elas são, o que reforça ainda mais a hipótese de que estados-nação poderiam estar por trás do ataque.

Falha corrigida

A brecha descoberta em março deste ano foi corrigida pelo Google em update para o Chrome liberada em 4 de julho. Como o problema estava no protocolo WebRTC, ele também poderia atingir o navegador Safari, da Apple, também já atualizado, ainda que, no caso do ataque descrito pela Avast, somente usuários de Windows fossem o alvo.

A Candiru não se pronunciou sobre o assunto, enquanto o relatório da empresa de segurança traz mais detalhes técnicos sobre a abertura e indicadores de comprometimento.

Fonte: Avast