Uma falha de dia zero no Google Chrome foi explorada em uma sofisticada campanha de espionagem online para distribuir o spyware comercial Dante, desenvolvido pela empresa italiana Memento Labs. A operação foi identificada pela Kaspersky, que divulgou os detalhes na última segunda-feira (27).

Registrada como CVE-2025-2783, a brecha permitia escapar do sandbox do navegador, ambiente seguro em que cada aba opera separadamente. Detectada em março, a vulnerabilidade acabou aproveitada em ataques direcionados a universidades, meios de comunicação, bancos, agências governamentais e outras organizações na Rússia.

Operação ForumTroll

Para chegar aos alvos, os autores usaram convites para fóruns online contendo links personalizados e de curta duração que, na verdade, direcionavam os destinatários para páginas fraudulentas. O código malicioso para explorar a falha no Chrome, que já foi corrigida, estava escondido nesses sites.

• Se a vítima usasse o navegador do Google ou outro baseado em Chromium ao clicar no link do convite poderia ter seu dispositivo infectado automaticamente, mesmo sem nenhuma ação adicional;
• As mensagens convidavam o alvo para se cadastrar no fórum de debates sobre ciência, economia e política Primakov Readings;
• Devido ao método, incluindo o uso de emails de phishing, os pesquisadores apelidaram o ciberataque de “Operação ForumTroll”;
• Conforme o relatório, o objetivo era implantar o spyware LeetAgent, que se conecta a um servidor remoto e recebe instruções via HTTPS para executar uma ampla lista de tarefas.

Quando instalado no dispositivo, o agente malicioso pode roubar arquivos armazenados, gravar as digitações no teclado e muito mais. Além disso, gera novas entradas no registro do Windows, se ocultando no sistema e dificultando a detecção.

A empresa de cibersegurança destaca que o software espião tem sido encontrado em ciberataques desde 2022, acontecendo principalmente contra indivíduos e organizações sediadas na Rússia e na Bielorússia. Não está claro se os autores são falantes nativos de russo.

Abrindo caminho para um spyware mais sofisticado

Os responsáveis pela descoberta também encontraram evidências de que, em alguns casos, a Operação ForumTroll funcionou como porta de entrada para o spyware Dante, que possui capacidades mais avançadas. Ele foi desenvolvido pela empresa fundada como Hacking Team, em 2003.

Alvo de um amplo vazamento de dados em 2015, a companhia foi vendida quatro anos depois, passando a ser chamada de Memento Labs. O Dante é uma versão avançada do antigo RCS Da Vinci, da mesma marca, contando com ferramentas para resistir às análises e apagar rastros de suas ações.

Como ressalta o The Hacker News, a Hacking Team possui histórico de vendas de recursos de vigilância para agências de aplicações da lei, governos e corporações, incluindo soluções para monitorar o navegador Tor.

Gostou do conteúdo? Continue no TecMundo e confira mais notícias sobre cibersegurança.