Chrome zero day iskorišten za špijuniranje

Sažetak
‍
Kritična zero day ranjivost u Google Chromeu iskorištena je za isporuku špijunskog softvera povezanog s talijanskim vendorom Memento Labs. Kaspersky i nezavisni istražitelji dokumentirali su napade u kojima se ranjivost koristila za probijanje sandbox izolacije i isporuku LeetAgent odnosno srodnih alata, što je rezultiralo ciljanom cyber špijunažom i produbljenim forenzičkim tragovima kompromitacije. Objavljene su hitne ispravke za Chrome, i preporuča se hitno ažuriranje i provođenje forenzičkih provjera na kompromitiranim endpointima.

Detalji
‍
Prema izvještajima sigurnosnih istraživača, uočena je aktivna eksploatacija zero day ranjivosti u Google Chrome pregledniku identificirane kao CVE-2025-2783. Napadi su bili ciljani i vođeni kroz kompromitirane web stranice koje iskorištavaju propust u Chromeovom V8 JavaScript engineu. Ranjivost je omogućavala izvršavanje proizvoljnog koda unutar preglednika i probijanje njegove sandbox zaštite, što je napadačima otvorilo put do preuzimanja kontrole nad sustavom.
‍
Kada bi korisnik posjetio zlonamjernu stranicu, napadači su iskoristili ranjivost CVE-2025-2783 za učitavanje i pokretanje tzv. loadera koji uspostavlja vezu s udaljenim C2 poslužiteljem i preuzima glavni špijunski alat nazvan LeetAgent. LeetAgent, povezan s Memento Labsom, sposoban je prikupljati dokumente, spremišta lozinki iz preglednika, povijest pregledavanja i snimke zaslona te izvršavati naredbe s C2 servera. Analize pokazuju da je kampanja koristila višefazni pristup uključujući provjere okoline kako bi izbjegla analitičke sandbokse prije nego što isporuči payload.
‍
Google je ranjivost ocijenio visokog prioriteta i brzo objavio sigurnosno ažuriranje za Chrome. Istraživači upozoravaju da je exploit ciljao specifične organizacije i korisnike te da su tehnike koje su primijenjene u napadu primjer sofisticirane zloupotrebe preglednika kao ulazne točke u sustave.

Preporuke
‍
• Hitno instalirajte najnoviju verziju Google Chromea na svim upravljanim uređajima.
• Izvršite forenzičku provjeru endpointa koji su koristili Chrome u razdoblju moguće izloženosti, tražeći poznate IOC znakove i neuobičajeni outbound promet.
• Provjerite i uklonite nepoznate ili nepotrebne ekstenzije preglednika zato što one mogu služiti kao površina napada ili kao trajni mehanizam za održavanje pristupa.
• Primijenite mrežni nadzor na razini proxy i firewall infrastrukture za otkrivanje i blokiranje sumnjivih C2 konekcija i neočekivanih TLS sesija.

Reference
‍
https://thehackernews.com/2025/10/chrome-zero-day-exploited-to-deliver.html
https://www.bleepingcomputer.com/news/security/italian-spyware-vendor-linked-to-chrome-zero-day-attacks
https://www.securityweek.com/chrome-zero-day-exploitation-linked-to-hacking-team-spyware

‍