Cybersicherheitsforscher entdeckten eine zuvor unbekannte macOS-Malware, mit den Codenamen DazzleSpy von ESET und MACMA von Google. Der Angriff selbst basiert auf einem WebKit-Exploit, mit dem Mac-Benutzer kompromittiert wurden. Die Payload scheint eine neue Malware-Familie zu sein, speziell auf macOS ausgerichtet.
Die Entdeckung basiert auf a Ergebnis der Google Threat Analysis Group im Zusammenhang mit einer Watering-Hole-Kampagne, bei der macOS-Exploits verwendet wurden. Die ESET-Forscher beschlossen, die Bedrohung weiter zu untersuchen, um weitere Details über die Malware und ihre Ziele aufzudecken.
Kurz gesagt, Ein Watering-Hole-Angriff ist ein böswilliger Versuch, bei dem Bedrohungsakteure darauf abzielen, eine bestimmte Gruppe von Endbenutzern zu kompromittieren, indem sie Websites infizieren, die Mitglieder der Zielorganisation besuchen. Im untersuchten Fall, Hacker nutzten eine gefälschte Website, die auf Aktivisten aus Hongkong und das Internet abzielte, Hongkong, Pro-Demokratie-Radiosender D100. Offensichtlich, Gemeinsam ist, dass sich beide Verbreitungstechniken an Besucher aus Hongkong mit pro-demokratischen politischen Tendenzen richten.
Ein Blick in die Malware-Mechanismen von DazzleSpy
Eine der Phasen des Angriffs umfasste manipulierten Code, der als Kanal zum Laden einer Mach-O-Datei fungierte. Dies wurde durch die Verwendung einer Remote-Code-Ausführung erreicht (RCE) Fehler in WebKit von Apple im Februar letzten Jahres behoben, bekannt als CVE-2021-1789. Der komplexe Exploit wurde genutzt, um eine Codeausführung innerhalb des Browsers zu erreichen, fertig mit mehr als 1,000 Zeilen von Code.
Dieser Exploit führt zum nächsten Teil des Angriffs, Dazu gehört auch die Verwendung eines jetzt behobenen Problems mit der lokalen Rechteausweitung in der Kernelkomponente, bekannt als CVE-2021-30869. Diese Schwachstelle wird benötigt, um die Next-Stage-Malware als Root auszuführen.
Fähigkeiten der macOS-Malware MACMA/DazzleSpy
Die DazzleSpy-Malware verfügt über eine breite Palette bösartiger Funktionen, um Dateien von kompromittierten Systemen zu kontrollieren und zu exfiltrieren, Inklusive:
- Systeminformationen stehlen;
- Ausführen beliebiger Shell-Befehle;
- Löschen des iCloud-Schlüsselbunds über einen CVE-2019-8526-Exploit, die verwendet wird, wenn die macOS-Version niedriger als ist 10.14.4;
- Initiieren oder Beenden einer Remote-Bildschirmsitzung;
- Sich selbst aus dem System löschen.
Abschließend, der DazzleSpy-Angriff erinnert an a 2020 Angriff, bei dem LightSpy iOS-Malware ähnliche Verbreitungstechniken gegen Bürger von Hongkong zeigte. Es ist noch unklar, ob beide Kampagnen von demselben Bedrohungsakteur durchgeführt wurden.
ähnliche Geschichte: XLoader Malware-as-a-Service jetzt nur für macOS verfügbar $49