Cybersikkerhedsforskere opdagede en hidtil ukendt macOS-malware, kodenavnet DazzleSpy af ESET og MACMA af Google. Selve angrebet er baseret på en WebKit-udnyttelse, der bruges til at kompromittere Mac-brugere. Nyttelasten ser ud til at være en ny malware-familie, specifikt målrettet macOS.
Opdagelsen er baseret på en Google Threat Analysis Group-fund relateret til en vandhulskampagne, der brugte macOS-benyttelser. ESET-forskere besluttede at fortsætte med at undersøge truslen for at afsløre yderligere detaljer om malwaren og dens mål.
Kort sagt, et vandhulsangreb er et ondsindet forsøg, hvor trusselsaktører sigter mod at kompromittere en bestemt gruppe slutbrugere ved at inficere websteder, som medlemmer af den målrettede organisation besøger. I den undersøgte sag, hackere brugte en falsk hjemmeside rettet mod Hongkong-aktivister og online, Hong Kong, pro-demokratisk radiostation D100. Naturligvis, fælles ting er, at begge distributionsteknikker er rettet mod besøgende fra Hong Kong med pro-demokratiske politiske tendenser.
Et kig på DazzleSpys malware-mekanismer
En af faserne af angrebet inkluderede manipuleret kode, der fungerede som en kanal til at indlæse en Mach-O-fil. Dette blev gjort ved at bruge en fjernudførelse af kode (RCE) fejl i WebKit Apple rettet i februar sidste år, kendt som CVE-2021-1789. Den komplekse udnyttelse blev udnyttet til at opnå kodekørsel i browseren, færdig med mere end 1,000 linjer kode.
Denne udnyttelse fører til den næste del af angrebet, hvilket inkluderer brug af et nu rettet problem med lokal privilegieeskalering i kernekomponenten, kendt som CVE-2021-30869. Denne sårbarhed er nødvendig for at køre næste fase af malware som rod.
Muligheder for MACMA/DazzleSpy macOS Malware
DazzleSpy malware har et bredt sæt af ondsindede funktioner til at kontrollere og eksfiltrere filer fra kompromitterede systemer, Herunder:
- Stjæler systemoplysninger;
- Udførelse af vilkårlige shell-kommandoer;
- Slip iCloud nøglering via en CVE-2019-8526 udnyttelse, som bruges, hvis macOS-versionen er lavere end 10.14.4;
- Starte eller afslutte en fjernskærmssession;
- Sletter sig selv fra systemet.
Afslutningsvis, DazzleSpy-angrebet minder om en 2020 angreb, hvor LightSpy iOS-malware viste lignende distributionsteknikker mod Hongkong-borgere. Det er stadig uklart, om begge kampagner blev udført af den samme trusselsaktør.
relaterede Story: XLoader Malware-as-a-Service Nu tilgængelig til macOS til kun $49
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: