Investigadores de ciberseguridad detectaron un malware macOS previamente desconocido, nombre en código DazzleSpy de ESET y MACMA de Google. El ataque en sí se basa en un exploit de WebKit utilizado para comprometer a los usuarios de Mac.. La carga útil parece ser una nueva familia de malware, dirigido específicamente a macOS.
El descubrimiento se basa en un Hallazgo del grupo de análisis de amenazas de Google relacionado con una campaña de abrevadero que usó macOS exploits. Los investigadores de ESET decidieron continuar investigando la amenaza para descubrir más detalles sobre el malware y sus objetivos..
Poco dicho, un ataque de pozo de agua es un intento malicioso en el que los actores de amenazas tienen como objetivo comprometer a un grupo específico de usuarios finales al infectar sitios web que visitan los miembros de la organización objetivo. En el caso investigado, Los piratas informáticos utilizaron un sitio web falso dirigido a activistas de Hong Kong y a los, Hong Kong, estación de radio pro-democracia D100. Obviamente, lo común es que ambas técnicas de distribución están dirigidas a visitantes de Hong Kong con tendencias políticas a favor de la democracia.
Una mirada a los mecanismos de malware de DazzleSpy
Una de las fases del ataque incluía un código manipulado que actuaba como un conducto para cargar un archivo Mach-O.. Esto se hizo mediante el uso de una ejecución remota de código. (RCE) error en WebKit Apple solucionado en febrero del año pasado, conocido como CVE-2021-1789. El complejo exploit se aprovechó para lograr la ejecución del código dentro del navegador., hecho con más de 1,000 líneas de código.
Este exploit conduce a la siguiente parte del ataque., que incluye el uso de un problema de escalada de privilegios locales ahora solucionado en el componente del kernel, conocido como CVE-2021-30869. Esta vulnerabilidad es necesaria para ejecutar el malware de siguiente etapa como root.
Capacidades del malware MACMA/DazzleSpy macOS
El malware DazzleSpy tiene un amplio conjunto de funcionalidades maliciosas para controlar y filtrar archivos de sistemas comprometidos, Incluido:
- Robo de información del sistema;
- Ejecutar comandos de shell arbitrarios;
- Soltar el llavero de iCloud a través de un exploit CVE-2019-8526, que se usa si la versión de macOS es anterior a 10.14.4;
- Iniciar o finalizar una sesión de pantalla remota;
- Eliminarse del sistema.
En conclusión, el ataque DazzleSpy recuerda a un 2020 ataque donde el malware LightSpy iOS mostró técnicas de distribución similares contra ciudadanos de Hong Kong. Todavía no está claro si ambas campañas fueron realizadas por el mismo actor de amenazas..
Artículo relacionado: XLoader Malware-as-a-Service ahora disponible para macOS solo por $49
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: