Gebruikers van Google Chrome en Microsoft Internet Explorer waren dit jaar het doelwit van een aanval waarbij kwetsbaarheden in beide browsers werden gebruikt om doelwitten ongemerkt met malware te infecteren, zo stelt antivirusbedrijf Trend Micro in een analyse (pdf).

De aanvallen vonden plaats van maart tot en met september, waarbij de aanvallers van meerdere gecompromitteerde websites gebruikmaakten. Deze websites, waaronder de site van de Korean American National Coordinating Council (KANCC), draaiden op GNUBoard. Dit is een Zuid-Koreaans contentmanagementsysteem (cms). Vermoedelijk zijn de websites via een kwetsbaarheid in dit cms gecompromitteerd en voorzien van exploitcode.

De exploitcode maakte gebruik van verschillende kwetsbaarheden in Chrome en IE om malware te installeren. In het geval van Chrome ging het om twee beveiligingslekken die op het moment van de aanvallen al door Google waren verholpen, namelijk CVE-2019-5782 en een kwetsbaarheid waar geen CVE-nummer aan is toegekend.

Vanwege de automatische updatefunctie is Google Chrome meestal geen doelwit van aanvallen die van bekende kwetsbaarheden gebruikmaken, aangezien de kans groot is dat gebruikers up-to-date zijn. CVE-2019-5782 werd op 29 januari 2019 door Google gepatcht. Alleen gebruikers die met een verouderde Chrome-versie werkten liepen dan ook risico. Voor de kwetsbaarheid in IE, CVE-2020-0674, verscheen op 11 februari van dit jaar een beveiligingsupdate.

Wanneer gebruikers van een kwetsbare Chrome- of IE-versie de betreffende websites bezochten werden er drie verschillende malware-exemplaren geïnstalleerd. Daarmee kregen de aanvallers op afstand toegang tot besmette systemen en konden allerlei informatie stelen. Volgens Trend Micro was de aanvalscampagne vermoedelijk gericht tegen de Koreaanse diaspora die in Koreaanse zaken geïnteresseerd is, aangezien meerdere Koreaanse sites werden gecompromitteerd. Wie erachter de aanval zit is niet bekend.