– Los investigadores de seguridad han advertido sobre un grupo llamado PuzzleMaker, este es un nuevo grupo de piratas informáticos que utiliza una serie de exploits integrados en Google Chrome y Windows 10 para atacar a empresas de todo el mundo.
Según el informe que han publicado, los investigadores de seguridad descubrieron el ataque por primera vez a mediados de abril. El ataque, dirigido a las corporaciones más grandes del mundo, se aprovechó de una serie de exploits de Día Cero integrados en Google Chrome y Windows 10.
Hasta ahora, los investigadores afirman que no han podido encontrar ni descubrir el código de explotación utilizado específicamente para realizar la ejecución remota (RCE) en el navegador Chrome, pero pudieron analizar un acto de aumento ilegal de los derechos de acceso para salir de la zona de pruebas y hacerse cargo del sistema.
Como no pudieron encontrarlo en el navegador Chrome, concluyeron que es otra fuente candidata que tiene mucho potencial para servir como exploit. El 12 de abril, los desarrolladores de Chromium informaron de dos nuevos problemas, 1196683 y 1195777. Eran correcciones de errores relacionados con la escritura en el repositorio V8 de código abierto en el motor de JavaScript que utilizan los navegadores Chrome y Chromium.
El problema surgió después de que un equipo en la competencia Pwn2Own pudo explotar con éxito el proceso de renderizado de Chrome utilizando el mismo error.
“Una de las correcciones de errores de 19986683 estaba destinada básicamente a parchear una vulnerabilidad utilizada durante la competencia Pwn2Own, y ambas correcciones de errores se realizaron junto con una prueba de regresión de archivos de JavaScript para activar esta vulnerabilidad”, dijeron los investigadores.
El investigador dijo más tarde que un usuario con la cuenta de Twitter @r4j0x00 luego publicó un código RCE utilizable en su página de GitHub. Basándose en ese código RCE, los piratas informáticos luego desarrollaron para explotar la función de notificación de Windows (WNF) con un error de mejora de acceso de Windows NTFS para ejecutar código con sistemas que se habían visto comprometidos en Windows 10.
Esto luego permite a los piratas informáticos acceder al sistema de la víctima y ejecutar cuatro módulos de malware, a saber, el módulo de etapa, cuentagotas, servicio y shell remoto. Los investigadores informaron además que este método de hackeo de dispositivos Windows nunca fue llevado a cabo por un grupo que no fuera PuzzleMaker, y se le pidió a la compañía que reparara el sistema de inmediato parcheando las correcciones de errores.
