A equipe de Pesquisa e Análise Global da Kaspersky (GReAT) identificou uma sofisticada vulnerabilidade zero-day no navegador Google Chrome, classificada como CVE-2025-2783, que permitia a evasão do sistema de proteção sandbox – uma das principais defesas do navegador contra códigos maliciosos.
Descoberta em meados de março, a falha foi usada em uma campanha de espionagem batizada de Operação ForumTroll, que envolveu phishing altamente direcionado e comprometimento silencioso de sistemas, exigindo apenas o clique em um link malicioso para ser ativado.
Ataques exigiam apenas um clique
Os pesquisadores da Kaspersky notaram uma onda de infecções causadas por e-mails falsos com convites personalizados. Ao clicar no link, os usuários eram redirecionados para um site aparentemente legítimo, mas o sistema já estava comprometido.
“Essa vulnerabilidade se destaca entre as dezenas de exploits que usam vulnerabilidades desconhecidas nos últimos anos”, afirmou Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) para a América Latina na Kaspersky.
“Este ataque contornava a proteção da sandbox do Chrome sem realizar operações maliciosas evidentes, como se a barreira de segurança simplesmente não existisse. O nível de sofisticação técnica indica que ele foi desenvolvido por atores altamente capacitados e com muitos recursos. Recomendamos fortemente que todos que usem o Google Chrome e qualquer navegador baseado em Chromium atualizem o navegador para a versão mais recente, a fim corrigir a vulnerabilidade e se proteger desse ataque.”
Exploit com características de APT
A investigação revelou que a falha zero-day fazia parte de uma cadeia de exploração, com ao menos dois exploits: o primeiro, ainda não identificado, com execução remota de código (RCE), seguido pela evasão da sandbox – esta última identificada e reportada pela Kaspersky ao Google.
A campanha tinha como alvos meios de comunicação, instituições educacionais e órgãos governamentais russos. A análise preliminar indica que se tratava de uma operação de espionagem conduzida por um grupo classificado como Ameaça Persistente Avançada (APT), com acesso a recursos e conhecimento técnico acima da média.
Correção rápida e reconhecimento do Google
Após a descoberta, a Kaspersky notificou o Google, que liberou uma atualização de segurança em 25 de março de 2025 para mitigar a vulnerabilidade. A gigante de tecnologia reconheceu oficialmente a colaboração da Kaspersky na detecção e mitigação do problema, reforçando a importância da cooperação internacional no enfrentamento de ameaças cibernéticas complexas.
Tecnologia de detecção avançada fez a diferença
A solução Kaspersky Next EDR Expert, parte da plataforma de Extended Detection and Response (XDR) da empresa, teve papel fundamental na detecção do comportamento anômalo. Com uso de inteligência artificial e aprendizado de máquina, a ferramenta permitiu uma análise precisa do exploit antes mesmo de sua divulgação pública.
Histórico de descobertas relevantes
Este não é o primeiro caso em que a Kaspersky identifica vulnerabilidades críticas no Chrome. Em 2024, a empresa já havia exposto a CVE-2024-4947, usada pelo grupo APT Lazarus em ataques voltados para roubo de criptomoedas. Na ocasião, o exploit explorava uma falha no motor JavaScript V8 do navegador.
A Kaspersky continuará investigando a Operação ForumTroll e divulgará novos detalhes técnicos assim que garantir que os usuários do Chrome estejam totalmente protegidos. Enquanto isso, os clientes da empresa já estão cobertos pelas soluções de segurança existentes.
