I ricercatori della sicurezza informatica hanno rilevato un malware macOS precedentemente sconosciuto, nome in codice DazzleSpy di ESET e MACMA di Google. L'attacco stesso si basa su un exploit WebKit utilizzato per compromettere gli utenti Mac. Il carico utile sembra essere una nuova famiglia di malware, specificamente rivolto a macOS.
La scoperta si basa su a Ricerca del gruppo di analisi delle minacce di Google relativo a una campagna abbeverata che utilizzava exploit macOS. I ricercatori ESET hanno deciso di continuare a indagare sulla minaccia per scoprire ulteriori dettagli sul malware e sui suoi obiettivi.
Poco detto, un watering hole attack è un tentativo dannoso in cui gli attori delle minacce mirano a compromettere un gruppo specifico di utenti finali infettando i siti Web visitati dai membri dell'organizzazione presa di mira. Nel caso indagato, gli hacker hanno utilizzato un sito Web falso prendendo di mira gli attivisti di Hong Kong e l'online, Hong Kong, radio a favore della democrazia D100. Ovviamente, la cosa comune è che entrambe le tecniche di distribuzione sono rivolte a visitatori di Hong Kong con tendenze politiche a favore della democrazia.
Uno sguardo ai meccanismi di malware di DazzleSpy
Una delle fasi dell'attacco includeva il codice manomesso che fungeva da condotto per caricare un file Mach-O. Ciò è stato fatto utilizzando un'esecuzione di codice remota (RCE) bug in WebKit Apple risolto nel febbraio dello scorso anno, noto come CVE-2021-1789. Il complesso exploit è stato sfruttato per ottenere l'esecuzione del codice all'interno del browser, fatto con più di 1,000 linee di codice.
Questo exploit porta alla parte successiva dell'attacco, che include l'utilizzo di un problema di escalation dei privilegi locali ora risolto nel componente del kernel, conosciuto come CVE-2021-30869. Questa vulnerabilità è necessaria per eseguire il malware della fase successiva come root.
Funzionalità del malware MACMA/DazzleSpy macOS
Il malware DazzleSpy ha un'ampia serie di funzionalità dannose per controllare ed esfiltrare i file dai sistemi compromessi, Compreso:
- Rubare informazioni di sistema;
- Esecuzione di comandi shell arbitrari;
- Eliminazione del portachiavi iCloud tramite un exploit CVE-2019-8526, che viene utilizzato se la versione di macOS è inferiore a 10.14.4;
- Avvio o interruzione di una sessione dello schermo remoto;
- Cancellandosi dal sistema.
Insomma, l'attacco DazzleSpy ricorda a 2020 attacco in cui il malware LightSpy iOS ha mostrato tecniche di distribuzione simili contro i cittadini di Hong Kong. Non è ancora chiaro se entrambe le campagne siano state eseguite dallo stesso attore di minacce.
Story correlati: XLoader Malware-as-a-Service ora disponibile solo per macOS $49