Как стало известно изданию ZDNet, недавняя уязвимость нулевого дня в браузере Firefox, о которой мы сообщали ранее, использовалась для атаки на сотрудников американской компании Coinbase.
Кроме того, по словам Филипа Мартина, члена команды по кибербезопасности Coinbase (которая и обнаружила уязвимость браузера), для атаки использовался не одна, а две уязвимости нулевого дня в Firefox. «В понедельник мы обнаружили и заблокировалм попытку злоумышленника использовать две уязвимости нулевого дня, которые были нацелены на сотрудников Coinbase», - сказал Мартин.
После уведомления команды Coinbase и Самуэля Гросса, специалиста по кибербезопасности из команды Google Project Zero, Mozilla выпустила патч для браузера. Позже Гросс сказал, что сообщал Mozilla об уязвимости в Firefox ещё 15 апреля через баг-трекер Bugzilla. Тем не менее, через два месяца после сообщения Гросса уязвимость всё же использовалась в атаке на Coinbase вместе с другим эксплойтом.
Неясно, как злоумышленники получили информацию об этой ошибке, чтобы использовать ее для своих атак. В этом случае есть несколько сценариев:
- злоумышленники самостоятельно обнаружили уязвимость;
- они получили информацию от инсайдера, имеющего доступ к Bugzilla;
- они взломали аккаунт сотрудника Mozilla и получили доступ к Bugzilla;
- они взломали Bugzilla (подобное уже случалось в 2015 году).
К счастью, две уязвимости Firefox, которые были объединены в один эксплойт и развернуты против сотрудников Coinbase, были обнаружены самими сотрудниками компании. В случае успеха хакер мог получить доступ к бэкэнду Coinbase, что позволило бы ему украсть средства с биржи.
«Мы восстановили весь сценарий атаки и сообщили об уязвимости в Firefox, разобрали вредоносное ПО и инфраструктуру, которая использовалась в атаке. Сейчас мы работаем с различными организациями с целью уничтожить инфраструктуру атакующего. Мы не видели никаких последствий эксплойта, которые могли быть нацелены на клиентов», - сказал Мартин, отметив, что другие криптовалютные компании также могли стать мишенью для хакеров. «Мы работаем над тем, чтобы уведомить другие организации, которые, по нашему мнению, также могли быть атакованы».
Согласно информации, предоставленной Мартином, злоумышленники могут отправлять фишинговые электронные письма, заманивающие жертв на веб-страницу, где, если они используют Firefox, страница загрузит и запустит в системе вредоносное ПО, которое собирает данные браузера, в том числе и пароли. Атака адаптирована как для пользователей macOS, так и для Windows.
Во вторник Mozilla выпустила обновления для Firefox 67.0.3 и Firefox ESR 60.7.1. Также было выпущено обновление для браузера Tor (v8.5.2).