Pesquisadores de segurança cibernética detectaram um malware macOS anteriormente desconhecido, codinome DazzleSpy pela ESET e MACMA pelo Google. O ataque em si é baseado em uma exploração do WebKit usada para comprometer usuários de Mac. A carga útil parece ser uma nova família de malware, visando especificamente o macOS.
A descoberta é baseada em um Descoberta do Grupo de análise de ameaças do Google relacionado a uma campanha de watering hole que usou exploits do macOS. Os pesquisadores da ESET decidiram continuar investigando a ameaça para descobrir mais detalhes sobre o malware e seus alvos.
disse brevemente, um ataque watering hole é uma tentativa maliciosa na qual os agentes de ameaças visam comprometer um grupo específico de usuários finais infectando sites visitados por membros da organização visada. No caso investigado, hackers usaram um site falso visando ativistas de Hong Kong e o, Hong Kong, estação de rádio pró-democracia D100. Obviamente, o comum é que ambas as técnicas de distribuição são destinadas a visitantes de Hong Kong com tendências políticas pró-democracia.
Uma olhada nos mecanismos de malware do DazzleSpy
Uma das fases do ataque incluiu código adulterado atuando como um canal para carregar um arquivo Mach-O. Isso foi feito usando uma execução remota de código (RCE) bug no WebKit Apple corrigido em fevereiro do ano passado, conhecido como CVE-2021-1789. A exploração complexa foi aproveitada para alcançar a execução de código no navegador, feito com mais de 1,000 linhas de código.
Esta exploração leva à próxima parte do ataque, que inclui o uso de um problema de escalonamento de privilégio local agora corrigido no componente do kernel, conhecido como CVE-2021-30869. Essa vulnerabilidade é necessária para executar o malware do próximo estágio como root.
Recursos do malware MACMA/DazzleSpy macOS
O malware DazzleSpy possui um amplo conjunto de funcionalidades maliciosas para controlar e exfiltrar arquivos de sistemas comprometidos, Incluindo:
- Roubar informações do sistema;
- Executando comandos shell arbitrários;
- Descartando as Chaves do iCloud por meio de uma exploração CVE-2019-8526, que é usado se a versão do macOS for inferior a 10.14.4;
- Iniciando ou encerrando uma sessão de tela remota;
- Excluindo-se do sistema.
Em conclusão, o ataque DazzleSpy é uma reminiscência de um 2020 ataque em que o malware LightSpy iOS mostrou técnicas de distribuição semelhantes contra cidadãos de Hong Kong. Ainda não está claro se ambas as campanhas foram realizadas pelo mesmo ator de ameaça.
Story relacionado: XLoader Malware-as-a-Service agora disponível para macOS apenas para $49