Pesquisadores da empresa já descobriram mais vulnerabilidades do tipo em 2021 do que no ano passado inteiro. Malwares exploram falhas antes desconhecidas no Google Chrome, Internet Explorer e Safari.

Quanto mais o Google investe em pesquisas sobre segurança digital, mais certezas surgem sobre a importância desse trabalho. Afinal, os resultados desses esforços apontam para descobertas que ligam o alerta de empresas e de usuários convencionais.

Entre as mais recentes, estão quatro vulnerabilidades de segurança de dia zero que foram exploradas no início deste ano. Descobertos pelo Threat Analysis Group (TAG) do Google e pesquisadores do Project Zero – também do Google –, os quatro foram usados como parte de três campanhas de malware que exploraram falhas – anteriormente desconhecidas – no Google Chrome, Internet Explorer e WebKit, o mecanismo de navegador usado pelo Safari da Apple.

Com esses dados em mãos, chegou-se a uma constatação preocupante: 2021 já superou os números de 2020 no quesito descobertas de vulnerabilidades de dia zero. Em menos de 8 meses, 33 exploits de dia zero usados em ataques foram divulgados, o que representa 11 a mais do que o total do ano passado inteiro.

Mais pesquisas, mais descobertas

Nesse contexto, o Google atribui parte desse aumento aos esforços de detecção e divulgação, que têm crescido. Afinal, quanto mais procurar, mais chances de encontrar. Entretanto, a empresa disse ainda que o aumento se deve também à proliferação de cibercriminosos que vendem o acesso a vulnerabilidades de dia zero. Ou seja, ganham dinheiro descobrindo falhas de segurança e vendendo esse conhecimento a outros crackers – um negócio que tem se mostrado lucrativo.

“A capacidade de descobrir vulnerabilidades de dia zero costumava ser restrita a poucos países, que tinham o conhecimento técnico para encontrá-las, desenvolvê-las em exploits e operacionalizar estrategicamente seu uso”, disse o Google em um comunicado. Segundo a empresa, de 2010 para cá mais agentes ingressaram nesse segmento, atuando com a venda desses recursos.

Assim, muitas gangues não precisam mais de conhecimentos técnicos tão aprofundados – basta ter dinheiro, algo que pode ser obtido em ataques menores. Três das quatro vulnerabilidades de Dias Zero que o TAG descobriu em 2021 se enquadram nesta categoria: foram desenvolvidas por grupos que visavam apenas a venda desse conhecimento, que então comercializaram esse conteúdo a outros grupos que de fato o utilizaram.

Ataques variados

As investidas em navegadores famosos foram bem abrangentes. Na campanha com o Safari, por exemplo, os crackers usaram o LinkedIn para atingir funcionários do governo de países da Europa Ocidental. Eles enviaram links maliciosos que direcionavam os alvos para domínios controlados por eles próprios. Se alguma vítima clicasse no link a partir de um dispositivo iOS, o site infectado iniciaria o ataque através do dia zero.

Esse exploit desativaria as proteções para coletar cookies de autenticação de vários sites populares, incluindo Google, Microsoft, LinkedIn, Facebook e Yahoo. Tudo seria enviado via WebSocket para um IP controlado por invasores. As vítimas precisariam ter uma sessão aberta nesses sites do Safari, algo longe de ser raro, para que os cookies fossem exfiltrados com sucesso.

Dessa maneira, os pesquisadores do Google disseram que os invasores provavelmente eram parte de grupos apoiados pelo governo russo – que abusou deste dia zero para visar dispositivos iOS que executam versões mais antigas do iOS (12.4 a 13.7). A equipe de segurança do Google relatou a falha à Apple, que lançou um patch em 26 de março por meio de uma atualização para corrigir o problema.

Quanto às vulnerabilidades do Chrome, ambas eram de execução remota de código do renderizador de dia zero, e acredita-se que tenham sido usadas pelo mesmo operador. Os dias zero miravam as versões mais recentes do Chrome no Windows, e foram entregues como links únicos enviados por e-mail para os alvos.

Assim, quando alguém clicava no link, era redirecionado para domínios controlados pelo invasor, e seu dispositivo recebia uma impressão digital das informações que os golpistas usavam para determinar se entregariam ou não a exploração.

Com a vulnerabilidade do Internet Explorer, os pesquisadores descobriram uma campanha destinada a usuários com documentos maliciosos do Office que carregavam conteúdo da web dentro do navegador. “Com base em nossa análise, avaliamos que os exploits do Chrome e do Internet Explorer foram desenvolvidos e vendidos pelo mesmo operador, fornecendo recursos de vigilância para clientes em todo o mundo”, disse o Google em um comunicado.

Fonte: https://ostec.blog/noticias/google-revela-aumento-ataques-dia-zero/