Los investigadores de ciberseguridad han detectado un nuevo y preocupante vector de ataque que explota activamente una vulnerabilidad en Google Chrome versión 133.0.6943.126, empleando técnicas de carga lateral de DLL.
Este ataque sofisticado permite la ejecución de código malicioso dentro de los procesos legítimos de Chrome, lo que representa un riesgo de seguridad sustancial para los usuarios a nivel global.
La carga lateral de DLL se produce cuando los atacantes manipulan el proceso mediante el cual las aplicaciones de Windows cargan bibliotecas de vínculos dinámicos (DLL). Esta técnica se aprovecha del orden de búsqueda de Windows, lo que permite la carga de archivos DLL maliciosos en lugar de los legítimos.
En este caso específico, el informe de Threatmon indica que los atacantes se dirigen a los procesos de Chrome mediante la sustitución del archivo legítimo chrome_elf.dll por una versión maliciosa.
«El secuestro del orden de búsqueda de DLL es uno de los métodos más comunes de descarga de DLL que ocurre cuando un atacante coloca una DLL maliciosa con el mismo nombre que una DLL legítima en una ubicación que se busca antes de llegar a la ruta de la DLL legítima», explica Securonix Threat Research.
Cuando Chrome se ejecuta, sin saberlo, carga la DLL del atacante y ejecuta código malicioso con los permisos confiables del navegador.
Vulnerabilidad de carga lateral de DLL en Google Chrome
El exploit aprovecha una vulnerabilidad en la última versión de Chrome (133.0.6943.126), que se lanzó en febrero de 2025.
Si bien Google ha publicado actualizaciones de seguridad que abordan otras vulnerabilidades de alta gravedad en Chrome 133, esta vulnerabilidad específica de carga lateral de DLL parece seguir siendo explotable.
El ataque utiliza una técnica sofisticada conocida como proxy de DLL, donde la DLL maliciosa actúa como un proxy que intercepta las llamadas a funciones del ejecutable y las reenvía a una DLL legítima.
Esto garantiza que la aplicación mantenga un comportamiento normal y al mismo tiempo permite que el código malicioso se ejecute sin ser detectado.
Los analistas de seguridad han notado que la implementación del ataque es particularmente sofisticada:
- La DLL maliciosa crea una puerta trasera persistente que continúa funcionando incluso después de cerrar Chrome
- Las tasas de detección siguen siendo extremadamente bajas, y las herramientas de seguridad identifican la DLL maliciosa en sólo 2 de 70 análisis.
- El malware emplea técnicas antidetección para evadir el análisis.
Un aspecto notable de este ataque es el uso del lenguaje de programación Nim para desarrollar el código malicioso.
Nim es una opción poco común para el desarrollo de malware, pero ofrece varias ventajas a los atacantes, incluida la evasión de detecciones basadas en firmas e impedir el análisis por parte de investigadores de seguridad que no están familiarizados con el lenguaje.
Este ataque representa una evolución preocupante en las tácticas de amenaza. La carga lateral de DLL se ha documentado desde al menos 2010, pero su aplicación contra software ampliamente utilizado como Chrome demuestra cómo los atacantes continúan perfeccionando las técnicas establecidas.
La vulnerabilidad afecta a la versión 133.0.6943.126 de Chrome para Windows, macOS y Linux. Se recomienda encarecidamente a los usuarios que actualicen sus navegadores de inmediato e implementen medidas de seguridad adicionales.
Mitigaciones
Los expertos en seguridad recomiendan varias medidas de protección:
- Actualice Chrome a la última versión inmediatamente
- Implementar soluciones de detección de endpoints capaces de identificar la carga lateral de DLL
- Utilice la lista blanca de aplicaciones para evitar la carga de DLL no autorizada
- Supervise los procesos del sistema para detectar comportamientos inesperados después de cerrar Chrome
Con la creciente sofisticación de estos ataques, las organizaciones deben permanecer alerta y proactivas en su enfoque de seguridad para protegerse contra este panorama de amenazas en evolución.
