- Exploit zero-day (CVE-2025-2783) a vizat Google Chrome si browsere bazate pe Chrome.
- Kaspersky a observat valul de infectari in martie 2025, predominant in Rusia.
- Atacurile au folosit linkuri de phishing si un site rau intentionat pentru compromitere fara click suplimentar.
- Malware-ul a avut scop de spionaj; a fost identificata tulpina Dante, legata de Memento Labs (fost Hacking Team).
- Google a corectat vulnerabilitatea pe 25 martie; riscul unei clase similare de buguri ramane.
Google Chrome a avut in luna martie vulnerabilitatea CVE-2025-2783, o evadare din sandbox-ul de securitate, confirmata ca fiind exploatata in mod activ impotriva tintelor din Rusia. Boris Larin, cercetator principal in securitate la Kaspersky, a explicat cum atacul, denumit Operation ForumTroll, a folosit instrumente asociate istoric ecosistemului de spyware al Hacking Team. Primul semnal: o crestere a infectarilor detectate de Kaspersky in martie 2025.
Vectorul de atac: phishing clasic, compromitere fara interactiune suplimentara
Campania a mizat pe linkuri de phishing trimise prin e-mail. Odată accesat, linkul redirectiona victima catre un site rau intentionat; daca era folosit Google Chrome (sau un browser bazat pe Chrome), exploatarea rula automat, fara actiuni suplimentare. Larin descrie exploitul drept „sofisticat si invechit”, confirmat ulterior de echipa de securitate Google ca CVE-2025-2783.
Tinte si obiectiv: spionaj cibernetic
Printre tinte s-au aflat organizatii media, universitati, centre de cercetare, institutii guvernamentale si financiare, alaturi de alte entitati cu sediul in Rusia. Functionalitatea malware-ului indica un scop clar: spionajul. Desi autorii Operation ForumTroll raman necunoscuti, tabloul arata o operatiune orientata spre colectarea de informatii.
Ce a gasit Kaspersky: tulpina Dante si clasa de vulnerabilitati
In timpul analizei, a fost identificata tulpina de malware Dante, ulterior recunoscuta ca instrument comercial de spyware, dezvoltat de compania italiana Memento Labs (fost Hacking Team). Kaspersky avertizeaza ca, desi Google a eliminat exploitul pe 25 martie, vorbim despre o intreaga clasa de probleme similare ce pot exista si in alte aplicatii sau servicii Windows.
Actualizeaza si reporneste imediat Google Chrome. Pana cand responsabilul pentru Operation ForumTroll va fi cunoscut, trebuie sa ai patch-uri la zi si prudenta la linkurile din e-mail. In fata unui ecosistem de spyware comercial greu de depistat, rapiditatea update-urilor poate face diferenta.
