Kaspersky découvre un exploit zero-day dans Chrome utilisé dans des campagnes en cours

À la mi-mars 2025, Kaspersky a détecté une vague d'infections déclenchées en cliquant sur des liens d'hameçonnage personnalisés transmis par mail. Outre le clic initial, aucune autre action des victimes n'a été nécessaire pour permettre aux attaquants de compromettre leurs systèmes. Une fois que l'analyse des experts de Kaspersky a confirmé que l'exploit s'appuyait sur une vulnérabilité précédemment inconnue de la dernière version de Google Chrome, l'entreprise a rapidement alerté l'équipe de sécurité de Google. Un correctif de sécurité pour la vulnérabilité a été publié le 25 mars 2025.

Les chercheurs de Kaspersky ont baptisé la campagne « Operation ForumTroll », car les attaquants ont envoyé des courriels de phishing personnalisés invitant les destinataires à se rendre sur le forum « Primakov Readings ». Ces mails ont pris pour cibles des utilisateurs travaillant pour des médias, des établissements scolaires et des organisations gouvernementales en Russie. Les liens malveillants utilisés avaient la particularité d'expirer très rapidement afin d'échapper à la détection. Dans la plupart des cas, ils redirigeaient vers le site web légitime de « Primakov Readings », une fois l'exploit supprimé.

La vulnérabilité zero-day de Chrome n'était qu'une partie d'une chaîne d'attaque comprenant au moins deux exploits : un exploit d'exécution de code à distance (RCE) qui n'a toujours pas été identifié permettrait apparemment de lancer l'attaque, tandis que l'évasion de sandbox découverte par Kaspersky constitue la deuxième étape du processus. L'analyse des fonctionnalités du malware suggère que l'opération a été conçue principalement à des fins d'espionnage. Tout porte à croire qu'il s'agit d'une menace persistante avancée (APT).

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans », a déclaré Boris Larin, chercheur principal en sécurité au sein du GReAT de Kaspersky. « L'exploit a contourné la protection du bac à sable de Chrome sans effectuer d'opérations manifestement malveillantes, comme si la couche de sécurité n'existait tout simplement pas. La sophistication technique affichée ici indique que l'exploit a été développé par des acteurs hautement qualifiés disposant de ressources significatives. Nous conseillons vivement à tous les utilisateurs de mettre à jour leur navigateur Chrome, et tout autre navigateur basé sur Chromium vers la version la plus récente afin de se protéger contre cette vulnérabilité ».

Google a remercié Kaspersky d'avoir découvert et signalé le problème. Kaspersky continue d'enquêter sur l'opération ForumTroll. De plus amples détails, y compris une analyse technique des exploits et de la charge utile malveillante, seront publiés dans un prochain rapport une fois que la sécurité des utilisateurs de Google Chrome sera assurée. En attendant, tous les produits Kaspersky détectent et protègent contre cette chaîne d'exploits et les logiciels malveillants associés, garantissant ainsi que les utilisateurs sont protégés contre cette menace.

Cette découverte fait suite à l'identification par Kaspersky GReAT d'une autre vulnérabilité zero-day de Chrome (CVE-2024-4947), exploitée l'année dernière par le groupe APT Lazarus dans le cadre d'une campagne de vol de cryptomonnaies. Les chercheurs de Kaspersky avaient alors découvert une vulnérabilité Type Confusion dans le moteur JavaScript V8 de Google, permettant aux attaquants de contourner les fonctions de sécurité par le biais d'un faux site web de jeu de cryptomonnaie.