Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Firefox Zero-Day utilizado para instalar malware en Mac

Mozilla emitió un parche de emergencia para Firefox a principios de esta semana, citando un peligroso exploit de día cero. Debido a que creía que los piratas informáticos estaban explotando la falla en la naturaleza, Mozilla se negó a proporcionar detalles sobre la naturaleza del problema. Hay algunos Detalles adicionales ahora, y sugieren que el foco del ataque está en los empleados del intercambio de criptomonedas.

La vulnerabilidad se produjo como resultado de fallas de JavaScript que los actores malintencionados podrían usar para producir un bloqueo del navegador explotable. Eso abrió la puerta a ejecutar código remoto en el sistema. La segunda vulnerabilidad relacionada permitió a los atacantes salir de la zona de pruebas de seguridad de Firefox y entrar en el sistema operativo. Mozilla emitió el parche de JavaScript el martes y la corrección de la caja de arena el jueves.

Antes de que se implementara cualquiera de esos parches, Mozilla se dio cuenta de un ataque que aprovechaba ambas vulnerabilidades. En ese momento, solo sabíamos que los ataques tenían algo que ver con Coinbase ya que el informe de error inicial provino de un investigador que trabaja tanto en el Proyecto Zero de Google como en el equipo de seguridad de Coinbase. Ahora, el jefe de seguridad de Coinbase, Philip Martin, dice que el ataque estaba dirigido a los empleados de Coinbase y no a los usuarios. Martin también señala que otros intercambios fueron el objetivo de los ataques, aunque ninguno ha dado un paso adelante.

Mientras tanto, el experto en seguridad de Apple, Patrick Wardle, publicó un análisis de malware que parece haberse instalado en una Mac completamente actualizada. El hash proporcionado por Wardle coincide con uno de Martin, y la víctima del ataque estuvo involucrada con un intercambio de criptomonedas hasta hace muy poco. Desafortunadamente, el malware es novedoso y evitó los mecanismos de protección de Apple, pero Wardle cree que Apple tendrá un parche para cambiar la forma en que macOS escanea los archivos descargados por las aplicaciones en lugar del usuario.

Wardle también tiene una copia del correo electrónico de suplantación de identidad enviado a la víctima, quien dice que el ataque consistió en una llamada «descarga automática» en Firefox. Sin embargo, el sitio web ha desaparecido. El objetivo probablemente era obtener acceso a las carteras criptográficas utilizadas por las bolsas para mover fondos.

Las muestras de malware recopiladas de este ataque solo son compatibles con macOS, pero también se sabe que uno de los servidores de comando y control controla el malware de Windows. Es posible que exista una versión de Windows del ataque en estado salvaje, pero hasta ahora ha eludido la detección.