I ricercatori di Avast hanno scoperto un exploit di una vulnerabilità WebRTC che riguarda Chrome, mirato a condurre attacchi "watering hole", che a loro volta prevedono il caricamento di malware su siti web target allo scopo di infettare i relativi utenti.
Google ha già provveduto a correggere la vulnerabilità, dopo che i ricercatori hanno informato l'azienda in privato circa la situazione. Lo stesso hanno fatto Microsoft e Apple per i rispettivi browser Edge e Safari.
Come dichiarato da Avast, sarebbero state condotte diverse campagne di attacco, con vari tipi di exploit nei confronti degli utenti Chrome in Libano, Turchia, Yemen e Palestina. I siti "watering hole" infettavano un target molto selezionato di utenti, tipicamente giornalisti e dipendenti di un'agenzia stampa.
Non è chiaro se la ragione di base fosse spiare i giornalisti per conoscere le storie seguite o per risalire alle fonti e ottenere informazioni compromettenti e dati sensibili condivisi con la stampa.
Il malware alla base degli attacchi è stato battezzato DevilsTongue da Microsoft, è di tipo avanzato e sarebbe stato venduto dall'azienda israeliana Candiru.
In base alle scoperte di Avast, i siti compromessi non si limitavano a infettare solo determinati visitatori, ma erano configurati anche per evitare che le vulnerabilità zero-day sfruttate venissero scoperte da ricercatori o hacker concorrenti.
Infatti, gli attacchi sfruttavano diversi tipi di zero-day, almeno tre, secondo Avast, mentre DevilTongue tentava di elevare i privilegi di sistema installando un driver Windows contenendo un'ulteriore vulnerabilità non ancora soggetta a patch. Tramite il driver, poi, il malware era in grado di sfruttare la falla di sicurezza per accedere al kernel.
In ogni caso, la vulnerabilità nota come CVE-2022-2294 è stata patchata da Google e Microsoft all'inizio di luglio, mentre Apple l'ha corretta solo da qualche giorno, di conseguenza gli utenti Safari devono accertarsi di usare l'ultima versione del browser.
Non si sa se altri hacker abbiano sfruttato questa vulnerabilità WebRTC per condurre i propri attacchi, sebbene non ci siano segnali che indichino la commercializzazione di exploit o l'uso della falla da parte di altri gruppi.