Cybersecurity-onderzoekers hebben een voorheen onbekende macOS-malware gedetecteerd, codenaam DazzleSpy door ESET en MACMA door Google. De aanval zelf is gebaseerd op een WebKit-exploit die wordt gebruikt om Mac-gebruikers te compromitteren. De payload lijkt een nieuwe malwarefamilie te zijn, specifiek gericht op macOS.
De ontdekking is gebaseerd op een Google Threat Analysis Group bevinding gerelateerd aan een watergat-campagne die gebruikmaakte van macOS-exploits. ESET-onderzoekers besloten door te gaan met het onderzoeken van de dreiging om meer details over de malware en zijn doelen te ontdekken.
Kort gezegd, een watering hole-aanval is een kwaadaardige poging waarbij dreigingsactoren een specifieke groep eindgebruikers willen compromitteren door websites te infecteren die leden van de gerichte organisatie bezoeken. In de onderzochte zaak, hackers gebruikten een nepwebsite die zich richtte op activisten in Hong Kong en de online, Hong Kong, pro-democratische radiozender D100. Duidelijk, het gemeenschappelijke is dat beide distributietechnieken zijn gericht op bezoekers uit Hong Kong met pro-democratische politieke neigingen.
Een kijkje in de malwaremechanismen van DazzleSpy
Een van de fasen van de aanval omvatte geknoeid code die als kanaal diende om een Mach-O-bestand te laden. Dit werd gedaan met behulp van een externe code-uitvoering (RCE) bug in WebKit Apple opgelost in februari vorig jaar, bekend als CVE-2021-1789. De complexe exploit werd gebruikt om code-uitvoering binnen de browser te bewerkstelligen, gedaan met meer dan 1,000 regels code.
Deze exploit leidt naar het volgende deel van de aanval, inclusief het gebruik van een nu opgelost probleem met lokale privilege-escalatie in de kernelcomponent, bekend als CVE-2021-30869. Deze kwetsbaarheid is nodig om de volgende fase malware als root uit te voeren.
Mogelijkheden van de MACMA/DazzleSpy macOS Malware
De DazzleSpy-malware heeft een brede reeks kwaadaardige functionaliteiten om bestanden van gecompromitteerde systemen te controleren en te exfiltreren, Inclusief:
- Systeeminformatie stelen;
- Willekeurige shell-commando's uitvoeren;
- iCloud-sleutelhanger laten vallen via een CVE-2019-8526-exploit, die wordt gebruikt als de macOS-versie lager is dan 10.14.4;
- Een schermsessie op afstand starten of beëindigen;
- Zichzelf uit het systeem verwijderen.
Tenslotte, de DazzleSpy-aanval doet denken aan een 2020 aanval waarbij LightSpy iOS-malware vergelijkbare distributietechnieken vertoonde tegen Hong Kong-burgers. Het is nog onduidelijk of beide campagnes door dezelfde dreigingsactor zijn uitgevoerd.
Verwante Story: XLoader Malware-as-a-Service nu alleen beschikbaar voor macOS $49