L’attacco noto come Operation WizardOpium sfrutta non una ma ben due falle 0-day in Chrome e Windows, con l’obiettivo ultimo di scaricare un payload malevolo e sottomettere il PC al controllo dei server remoti.
Scovata dai ricercatori di Kaspersky Lab, la minaccia nota come Operation WizardOpium aveva già fatto notizia il mese scorso a causa dell’utilizzo di una vulnerabilità zero-day presente all’interno del browser Chrome. Oltre alla falla nel browser di Google, dicono ora gli esperti della security enteprise moscovita, gli ignoti cyber-criminali hanno impiegato anche un bug critico di Windows per portare a compimento le loro azioni malevole.
Gli ignoti creatori di Operation WizardOpium hanno preso di mira e compromesso un sito di news in lingua coreana, modificandone il codice JavaScript e spingendo i visitatori del sito a eseguire uno script malevolo. Tale script era in grado di abusare della falla 0-day di Chrome per scaricare ed eseguire un payload malevolo su Windows, con l’obiettivo ultimo di scaricare ulteriori malware e ricevere istruzioni dai server di comando&controllo in mano ai cyber-criminali.
Ora, in seguito alla distribuzione del Patch Tuesday di dicembre 2019 per tutte le versioni di Windows supportate da Microsoft, è emerso un ulteriore livello di complessità che caratterizza l’attacco Operation WizardOpium: oltre alla falla di Chrome, i cyber-criminali stavano attivamente sfruttando una falla 0-day di Windows (CVE-2019-1458) per sfuggire alla sandbox del browser, guadagnarsi i livelli di accesso come amministratori sul PC e scaricare i malware di cui sopra.
I creatori di Operation WizardOpium e le finalità dell’attacco sono a tutt’oggi ignoti, mentre gli utenti e le aziende che mantengono le loro piattaforme informatiche sempre aggiornate possono tirare un sospiro di sollievo: la falla 0-day di Chrome è stata chiusa con la release 78 del browser, mentre il Patch Tuesday di dicembre ha neutralizzato il bug CVE-2019-1458 in Windows.