Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Memento шпионски софтвер поврзан со напади со Chrome zero-day ранливост

Објавено: 28.10.2025

Додека ги истражуваа сајбер нападите, истражувачите открија нов шпионски софтвер од Memento Labs, наследникот на озлогласената компанија Hacking Team.

Zero-day ранливост во Google Chrome прелистувачот била искористена претходно оваа година преку комерцијални шпионски алатки од Memento Labs.

Ранливоста, означена како CVE-2025-2783, била откриена и пријавена на Google од истражувачи на Kaspersky Lab. Google веднаш ја закрпи грешката, која била користена од државно поддржана хакерска група во кампања наречена „Operation ForumTroll“.

Истражувачите го следеле малициозниот софтвер користен во кампањата – насочена кон владини и приватни субјекти во Русија и Белорусија – и откриле дека слични напади се изведувале уште од 2022 година. Според извештајот објавен во понеделник, Kaspersky идентификувал шпионски софтвер наречен „Dante“, развиен од италијанскиот производител Memento Labs.

Оваа активност претставува уште еден пример за тоа како индустријата за комерцијален шпионски софтвер е еден од главните двигатели на zero-day нападите против Google и други компании како Apple. Таа исто така покажува колку се упорни овие компании: во 2015 година, Hacking Team беше хакирана, а податоците, вклучувајќи го и изворниот код на нивните шпионски алатки, беа објавени јавно.

Во 2019 година, Hacking Team беше купена од IntheCyber Group, и двете компании повторно се појавија под ново име – Memento Labs. Во 2023 година, Memento ја претстави својата нова шпионска алатка „Dante“, која до оваа година не била забележана во реални напади, според Kaspersky.

Memento експлоит користен за пробивање на Chrome Sandbox заштитата

Истражувачите на Kaspersky откриле бран напади во почетокот на 2025 година, кои користеле персонализирани фишинг е-пораки и краткотрајни злонамерни линкови за испорака на експлоит насочен кон корисници на Google Chrome и други Chromium-базирани прелистувачи.

Тие откриле дека експлоитот бил способен да ја заобиколи Chrome sandbox заштитата без да користи очигледно злонамерни или ограничени операции. Основниот проблем бил логичка грешка во Chrome, предизвикана од „необична карактеристика на Windows OS“, според Борис Ларин, водечки истражувач во Kaspersky.

„Со текот на годините откривме и пријавивме десетици zero-day експлоити кои се користеле во напади,“ напиша Ларин. „Но CVE-2025-2783 е еден од најинтересните sandbox експлоити што некогаш сме ги сретнале.“

Во кратки црти, Memento пронашле начин да ја оневозможат sandbox функционалноста со злоупотреба на т.н. „pseudo handles“ – специјални вредности кои ги претставуваат системските објекти. Некои Windows API повици враќаат pseudo handle наместо вистински, што им овозможува на неовластени корисници да испраќаат pseudo handle до привилегирани процеси.

„Кога pseudo handles беа воведени, тие го олеснија програмирањето и ја зголемија брзината – нешто многу важно во минатото. Но сега, децении подоцна, таа застарена оптимизација ни се враќа како проблем,“ напиша Ларин.

На Kaspersky Security Analyst Summit 2025, Ларин предупреди дека CVE-2025-2783 претставува нова класа на ранливости, кои може да постојат и во други апликации и Windows сервиси. Тој исто така изјави дека Windows Duplicate Handle API функцијата е ризична и дека сите привилегирани процеси треба да пријават грешка кога ќе добијат pseudo handle.

Поврзување на CVE-2025-2783 со Dante

Иако Kaspersky не забележал користење на Dante во кампањата Operation ForumTroll, истражувачите го поврзале шпионскиот софтвер со други напади на истата група. Сличностите во кодот укажуваат дека и таа кампања користела алатки од Memento.

Како и многу други шпионски програми, Dante бил силно замаглен (обфусциран) – во овој случај преку VMProtect, алатка што го отежнува реверсното инженерство – а речиси сите стрингови биле енкриптирани.

„Проблемот со откривање и идентификација на комерцијален шпионски софтвер е што производителите обично не оставаат податоци за авторски права или имиња на производи во нивните експлоити,“ објасни Ларин. „Но во случајот со Dante, откако ја отстранивме VMProtect заштитата, го најдовме името на малициозниот софтвер директно во кодот.“

Иако Memento Labs првично тврдеше дека „почнува од нула“ во 2019 поради протекувањето на податоците од Hacking Team, Kaspersky открил дека Dante дели многу сличности со нивниот поранешен производ Remote Control Systems (RCS).

Dark Reading се обрати до Memento Labs за коментар на извештајот на Kaspersky, но компанијата сè уште нема одговорено во моментот на објавување.

Извори:

  • Darkreading  – „Memento Spyware Tied to Chrome Zero-Day Attacks“ .Darkreading