Los investigadores han descubierto un malware avanzado, nunca antes visto para macOS, que se instaló usando exploits que eran casi imposibles de detectar o detener para la mayoría de los usuarios una vez que llegaban a un sitio web malicioso.
El malware era una puerta trasera con todas las funciones que se escribió desde cero, una indicación de que los desarrolladores detrás de él tienen importantes recursos y experiencia. DazzleSpy, como lo llamaron los investigadores de la firma de seguridad Eset, proporciona una variedad de capacidades avanzadas que brindan a los atacantes la capacidad de monitorear y controlar completamente las Mac infectadas. Las características incluyen:
- toma de huellas dactilares del dispositivo de la víctima
- la captura de pantalla
- descarga/carga de archivos
- ejecutar comandos de terminal
- grabación de audio
- registro de teclas
Bolsillos profundos, talento de primer nivel
El malware para Mac se ha vuelto más común a lo largo de los años, pero el universo de las puertas traseras avanzadas de macOS sigue siendo considerablemente más pequeño que el de las puertas traseras avanzadas para Windows. La sofisticación de DazzleSpy, así como la cadena de explotación utilizada para instalarlo, es impresionante. Tampoco parece tener ninguna contraparte correspondiente para Windows. Esto ha llevado a Eset a decir que las personas que desarrollaron DazzleSpy son inusuales.
“Primero, parece que solo apuntan a las Mac”, escribió en un correo electrónico el investigador de Eset Marc-Etienne M.Léveillé. “No hemos visto cargas útiles para Windows ni pistas de que existiría. En segundo lugar, tienen los recursos para desarrollar exploits complejos y su propio malware de espionaje, lo cual es bastante importante”.
De hecho, los investigadores del grupo de análisis de amenazas de Google que descubrieron por primera vez los exploits dijeron que, según su análisis del malware, «creen que este actor de amenazas es un grupo con buenos recursos, probablemente respaldado por el estado, con acceso a su propia ingeniería de software». equipo basado en la calidad del código de carga útil «.
Como señalaron por primera vez los investigadores de Google, el malware se propagó en ataques de abrevadero que utilizaban sitios falsos y pirateados que atraían a los activistas a favor de la democracia en Hong Kong. Los ataques explotaron vulnerabilidades que, cuando se combinaron, dieron a los atacantes la capacidad de ejecutar de forma remota el código de su elección segundos después de que la víctima visitara la página web de la trampa explosiva. Todo lo que se requería para que el exploit funcionara era que alguien visitara el sitio malicioso. No se requirió ninguna otra acción del usuario, por lo que este fue un ataque de un solo clic.
“Esa es la parte aterradora: en un sistema sin parches, el malware comenzaría a ejecutarse con privilegios administrativos sin que la víctima se diera cuenta”, dijo M. Léveillé. «El tráfico al servidor de C&C también se cifra mediante TLS».
Desde entonces, Apple ha parcheado las vulnerabilidades explotadas en este ataque.
La cadena de explotación consistía en una vulnerabilidad de ejecución de código en Webkit, el motor del navegador para Apple Safari. Los investigadores de Eset analizaron uno de los sitios de abrevadero, que fue eliminado pero permanece en caché en los Archivos de Internet. El sitio contenía una etiqueta iframe simple que se conectaba a una página en amnestyhk[.]org.
