Un malware de espionaje cibernético previamente no documentado dirigido al sistema operativo macOS de Apple aprovechó un exploit del navegador web Safari como parte de un ataque de pozo de agua dirigido a personas políticamente activas y prodemocráticas en Hong Kong
La firma eslovaca de ciberseguridad ESET atribuyó la intrusión a un actor con "fuertes capacidades técnicas", destacando las superposiciones de la campaña con la de una ofensiva digital similar revelada por Google Threat Analysis Group (TAG) en noviembre de 2021.
La cadena de ataque implicó comprometer un sitio web legítimo perteneciente a D100 Radio, una estación de radio por Internet a favor de la democracia en Hong Kong, para inyectar marcos en línea maliciosos (también conocidos como iframes ) entre el 30 de septiembre y el 4 de noviembre de 2021. En la siguiente fase, el código manipulado actuó como un conducto para cargar un archivo Mach-O aprovechando un error de ejecución remota de código en WebKit que Apple solucionó en febrero de 2021 ( CVE-2021-1789 ). "El exploit utilizado para obtener la ejecución del código en el navegador es bastante complejo y tenía más de 1000 líneas de código una vez formateadas correctamente", dijeron los investigadores de ESET.
El éxito de la ejecución remota del código de WebKit posteriormente desencadena la ejecución del binario Mach-O intermedio que, a su vez, explota una vulnerabilidad de escalada de privilegios locales ahora parcheada en el componente del kernel ( CVE-2021-30869 ) para ejecutar el malware de la siguiente etapa. como usuario raíz. Si bien la secuencia de infección detallada por Google TAG culminó con la instalación de un implante llamado MACMA, el malware entregado a los visitantes del sitio de D100 Radio fue una nueva puerta trasera de macOS que ESET ha denominado DazzleSpy .
El malware proporciona a los atacantes "un gran conjunto de funcionalidades para controlar y extraer archivos de una computadora comprometida", explicaron los investigadores, además de incorporar una serie de otras características, que incluyen:
- Información del sistema de cosecha
- Ejecutar comandos de shell arbitrarios
- Volcar el llavero de iCloud usando un exploit CVE-2019-8526 si la versión de macOS es inferior a 10.14.4
- Iniciar o finalizar una sesión de pantalla remota, y
- Eliminarse a sí mismo de la máquina
"Esta campaña tiene similitudes con una de 2020 donde el malware LightSpy iOS (descrito por Trend Micro y Kaspersky ) se distribuyó de la misma manera, utilizando la inyección de iframe en sitios web para ciudadanos de Hong Kong que condujo a un exploit de WebKit", dijeron los investigadores. Dicho esto, no está claro de inmediato si ambas campañas fueron orquestadas por el mismo grupo.
Historias relacionadas:
Ciberdelicuentes : persiguen las contraseñas maestras de LastPass
Siente todo un "hacker" con estos tres trucos en WhatsAp
HHackers tuvieron acceso a 150 mil cámaras de seguridad de la Empresa Tesla
[Fuente]: thehackernews.com
Anónimo.( 25 de Enero de 2022).Watering Hole. [Fotografía]. Modificado por Carlos Zambrado Recuperado de thehackernews.com