Kitervelt támadás, olasz kémszoftver
A támadók egy korábban ismeretlen, úgynevezett „zero-day” sebezhetőséget, a CVE-2025-2783-at használták ki a Chrome sandbox védelmének megkerülésére. Így telepítették a kártékony futtatókódot a böngészőre, majd egy állandó betöltőt, amely rosszindulatú DLL-t injektált. Ez tovább terjesztette a LeetAgent nevű moduláris kémszoftvert, amely parancsokat hajt végre, fájlokat kutat át, naplózza a billentyűleütéseket, és érzékeny adatokat lop.
A LeetAgent jellegzetessége, hogy a parancsokhoz leetspeak kifejezéseket használ, vagyis informatikus szlenggel kommunikál. A kutatók a LeetAgentet 2022-es orosz és belarusz támadásokhoz vezették vissza, ahol egyes esetekben a Dante nevű szoftvert is telepítette.
A Hacking Team öröksége: Dante visszatér
A Dante kereskedelmi kémszoftvert az olasz Memento Labs fejlesztette, amely a hírhedt, milánói Hacking Team jogutódja. A Hacking Teamet 2015-ben törték fel; ekkor derült ki, hogy diktatúráknak árultak lehallgató eszközöket, és „zero-day” sérülékenységekhez is hozzáfértek. 2019-ben felvásárolta őket az InTheCyber Group, ebből alakult a Memento Labs.
A Dante több modulból áll, a parancsokat egy speciális szerverről (C2) kapja. Ha a szerver néhány napig nem válaszol, a kártevő önmegsemmisíti magát, és minden nyomát eltünteti. Bár a kutatók nem tudtak konkrét modulokat elemezni, az eszköz felépítése és működése alapján egyértelműen a Memento Labs-hoz köthető.
A védelem javítva, de új fenyegetések várhatók
A Chrome sérülékenységét március 26-án befoltozták, a Mozilla Firefox pedig a böngésző 136.0.4-es változatában javította az ugyanezt kihasználó biztonsági rést. Bár a támadásokért legnagyobb valószínűséggel a Memento Labs a felelős, nem kizárt, hogy a Chrome-exploittal egy másik, különálló szereplő állt elő. A cég egyelőre nem reagált a vádakra, de szakértők szerint a kereskedelmi kémprogramok korszakának legveszélyesebb fejezetét éljük.
