サイバーセキュリティの研究者は、これまで知られていなかったmacOSマルウェアを検出しました, コードネームはESETのDazzleSpyとGoogleのMACMA. 攻撃自体は、Macユーザーを危険にさらすために使用されるWebKitエクスプロイトに基づいています. ペイロードは新しいマルウェアファミリーのようです, 特にmacOSをターゲットに.
発見はに基づいています Google脅威分析グループの調査結果 macOSエクスプロイトを使用した水飲み場キャンペーンに関連. ESETの研究者は、マルウェアとそのターゲットに関する詳細を明らかにするために、脅威の調査を継続することを決定しました.
すぐに言った, 水飲み場型攻撃は、標的となる組織のメンバーがアクセスするWebサイトに感染することにより、脅威アクターが特定のエンドユーザーグループを危険にさらすことを目的とした悪意のある試みです。. 調査したケースでは, ハッカーは、香港の活動家とオンラインを標的とした偽のWebサイトを使用しました, 香港, 民主化推進ラジオ局D100. 明らかに, 共通点は、どちらの配布手法も、民主主義を支持する政治的傾向を持つ香港からの訪問者を対象としているということです。.
DazzleSpyのマルウェアメカニズムの調査
攻撃のフェーズの1つには、Mach-Oファイルをロードするためのコンジットとして機能する改ざんされたコードが含まれていました。. これは、リモートコード実行を使用して実行されました (RCE) 昨年2月に修正されたWebKitAppleのバグ, CVE-2021-1789として知られています. 複雑なエクスプロイトを利用して、ブラウザ内でコードを実行しました, 以上で行われる 1,000 コード行.
このエクスプロイトは、攻撃の次の部分につながります, これには、カーネルコンポーネントで修正されたローカル権限昇格の問題の使用が含まれます, として知られている CVE-2021-30869. この脆弱性は、次の段階のマルウェアをルートとして実行するために必要です.
MACMA /DazzleSpymacOSマルウェアの機能
DazzleSpyマルウェアには、侵害されたシステムからファイルを制御および盗み出すためのさまざまな悪意のある機能があります。, 含む:
- システム情報を盗む;
- 任意のシェルコマンドを実行する;
- CVE-2019-8526エクスプロイトを介したiCloudキーチェーンの削除, macOSのバージョンが以下の場合に使用されます 10.14.4;
- リモート画面セッションの開始または終了;
- システムから自分自身を削除する.
結論は, DazzleSpyの攻撃は 2020 LightSpyiOSマルウェアが香港市民に対して同様の配布手法を示した攻撃. 両方のキャンペーンが同じ脅威アクターによって実行されたかどうかはまだ不明です.
関連記事: XLoaderMalware-as-a-ServiceがmacOSでのみ利用可能になりました $49