Tanto Microsoft como Google lanzaron ayer actualizaciones de software para corregir algunas vulnerabilidades de seguridad, incluida una vulnerabilidad de día cero que ha sido explotada en la naturaleza. Estas vulnerabilidades de día cero fueron descubiertas por Kaspersky, pero han sido explotadas por grupos de hackers avanzados. Los hackers pueden usar estas vulnerabilidades para instalar spyware directamente en sus objetivos.

Después de rastrear la fuente, Kaspersky señaló que el atacante no se puede atribuir a ningún atacante en particular, pero parte del código utilizado por el atacante es similar al grupo Lazarus. El Grupo Lazarus es el creador del conocido ransomware WannaCry, y el grupo también es considerado por la compañía de seguridad como un equipo de piratas informáticos a nivel nacional financiado por Corea del Norte.

La investigación de Kaspersky reveló que el atacante original utilizó una vulnerabilidad en un sitio web de noticias coreano para incrustar un script malicioso que se cargaba cuando un usuario navegaba por el sitio. El código en este script malicioso es específicamente para Google Chrome. La vulnerabilidad explotada por el hacker es una vulnerabilidad de día cero que los funcionarios de Google no han descubierto previamente. Después de cargar el script malicioso, llamará a la vulnerabilidad de seguridad Win32K para descargar e instalar el malware. El malware se conectará automáticamente al servidor remoto para obtener instrucciones. En otras palabras, el usuario principal se infectará con malware cuando navegue por este sitio web en idioma coreano. Durante este período, el usuario no necesita realizar ninguna interacción para completar el ataque.

Después de rastrear y analizar, Kaspersky dijo que no hay evidencia firme para correlacionar el ataque con ningún grupo conocido de amenaza persistente avanzada. Sin embargo, el código relevante utilizado por los atacantes tiene similitudes muy débiles con la camarilla de Lazarus, lo que indica que el grupo de ataque potencial puede ser la conocida camarilla de Lazarus. El Grupo Lazarus ha lanzado varios ataques cibernéticos conocidos, incluido el ransomware WannaCry, el caso de robo del Banco Nacional de Bangladesh y el caso de robo del Far East Bank. También se confirmó que el grupo era una organización de piratería a nivel estatal financiada por Corea del Norte. El portador de este ataque fue un sitio de noticias coreano, lo que significa que el objetivo principal eran los usuarios coreanos. Por lo tanto, de acuerdo con la especulación de sentido común, es muy probable que este ataque sea lanzado por Lázaro, pero Kaspersky dijo que por el momento no hay suficientes pruebas suficientes. Kaspersky cree que el código de ataque relevante tiene una similitud muy débil con el grupo Lazarus. También puede ser que otros atacantes estén tratando de dirigir su atención a Lázaro.