Des chercheurs en cybersécurité ont détecté un malware macOS jusque-là inconnu, nom de code DazzleSpy par ESET et MACMA par Google. L'attaque elle-même est basée sur un exploit WebKit utilisé pour compromettre les utilisateurs de Mac. La charge utile semble être une nouvelle famille de logiciels malveillants, ciblant spécifiquement macOS.
La découverte est basée sur un Conclusion du groupe d'analyse des menaces de Google lié à une campagne de points d'eau qui utilisait des exploits macOS. Les chercheurs d'ESET ont décidé de continuer à enquêter sur la menace pour découvrir plus de détails sur le malware et ses cibles..
Peu dit, une attaque par trou d'eau est une tentative malveillante dans laquelle les acteurs de la menace visent à compromettre un groupe spécifique d'utilisateurs finaux en infectant les sites Web que les membres de l'organisation ciblée visitent. Dans le cas étudié, les pirates ont utilisé un faux site Web ciblant les militants de Hong Kong et le Web, Hong Kong, radio pro-démocratie D100. Évidemment, le point commun est que les deux techniques de distribution s'adressent aux visiteurs de Hong Kong ayant des tendances politiques pro-démocratie.
Un aperçu des mécanismes de logiciels malveillants de DazzleSpy
L'une des phases de l'attaque comprenait un code falsifié agissant comme un conduit pour charger un fichier Mach-O. Cela a été fait en utilisant une exécution de code à distance (RCE) bogue dans WebKit Apple corrigé en février de l'année dernière, connue sous le nom de CVE-2021-1789. L'exploit complexe a été exploité pour réaliser l'exécution de code dans le navigateur, fait avec plus de 1,000 lignes de code.
Cet exploit mène à la prochaine partie de l'attaque, qui inclut l'utilisation d'un problème d'escalade de privilèges locaux désormais résolu dans le composant du noyau, connu comme CVE-2021-30869. Cette vulnérabilité est nécessaire pour exécuter le logiciel malveillant de la prochaine étape en tant que racine.
Capacités du logiciel malveillant MACMA/DazzleSpy macOS
Le malware DazzleSpy dispose d'un large éventail de fonctionnalités malveillantes pour contrôler et exfiltrer les fichiers des systèmes compromis, Y compris:
- Vol d'informations sur le système;
- Exécuter des commandes shell arbitraires;
- Suppression du trousseau iCloud via un exploit CVE-2019-8526, qui est utilisé si la version de macOS est inférieure à 10.14.4;
- Initier ou terminer une session d'écran à distance;
- Se supprimer du système.
En conclusion, l'attaque DazzleSpy rappelle un 2020 attaque où le logiciel malveillant LightSpy iOS a montré des techniques de distribution similaires contre les citoyens de Hong Kong. On ne sait toujours pas si les deux campagnes ont été menées par le même acteur menaçant.
histoire connexes: XLoader Malware-as-a-Service maintenant disponible pour macOS pour seulement $49