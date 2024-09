Gebruikers van Google Chrome zijn door middel van een drive-by download besmet met een rootkit, zo stelt Microsoft in een analyse. De aanvallers gebruikten twee kwetsbaarheden waar op het moment van de aanval geen beveiligingsupdates voor beschikbaar waren. Alleen het bezoeken van een malafide of gecompromitteerde website was voldoende om besmet te worden. Hoeveel gebruikers besmet zijn geraakt en in welke landen laat Microsoft niet weten.

De eerste kwetsbaarheid die de aanvallers gebruikten betrof CVE-2024-7971 en bevond zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. De tweede kwetsbaarheid wordt aangeduid als CVE-2024-38106 en was aanwezig in de Windows-kernel. Via het eerste lek konden de aanvallers code in Chrome uitvoeren, om vervolgens via het Windows-lek uit de sandbox van Googles browser te breken, waardoor remote code execution op het systeem mogelijk was.

Microsoft stelt dat meerdere partijen misbruik van het kernel-lek maakten voordat de patch beschikbaar was. De kwetsbaarheid in Windows werd op 13 augustus door Microsoft gepatcht. Google kwam op 21 augustus met een update voor de Chrome-kwetsbaarheid. Via de twee kwetsbaarheden werd de FudModule-rootkit geïnstalleerd, waarmee aanvallers hun activiteiten voor aanwezige beveiligingssoftware kunnen verbergen. Ook kan de rootkit aanwezige antivirus- en monitoringssoftware uitschakelen.

Deze rootkit wordt al enkele jaren door aanvallers gebruikt, die daarbij vaak ook kwetsbaarheden gebruiken waar op het moment van de aanval geen patch voor beschikbaar is, zo liet securitybedrijf Gen Digital onlangs weten. Volgens Microsoft zijn de aanvallen het werk van een Noord-Koreaanse groep die het Citrine Sleet noemt en voor financieel gewin aanvallen tegen cryptobedrijven uitvoert.