Un malware scoperto precedentemente nel sistema operativo MacOS di Apple ha sfruttato un Exploit su Safari Browser Web come parte di un attacco a individui politicamente attivi e pro-democrazia a Hong Kong.
La società ESET ha attribuito l’intrusione a un attore con “forti capacità tecniche“, ed ha trovato delle similitudini con un attacco digitale simile scoperto dal gruppo Google (tag) nel novembre 2021.
La catena di attacco è iniziata con la compromissione del sito web appartenente alla radio internet pro-democrazia a Hong Kong, D100, tramite azione di iniezione di codici malevoli (IFrames) tra il 30 settembre e il 4 novembre 2021. Nel frattempo, un sito fraudolento chiamato “Fightforhk [.] COM” è stato registrato con lo scopo di incentivare gli attivisti della liberazione nell’esprimere commenti online in modo da farli notare per poi tracciare con l’attacco.
Il codice manomesso ha agito come condotto per caricare un file Mach-o sfruttando un bug di esecuzione del codice remoto in WebKit che è stato risolto da Apple nel febbraio 2021 (CVE-2021-1789). “L’exploit utilizzato per ottenere l’esecuzione del codice nel browser è piuttosto complesso ed è composto da 1.000 righe di codice” hanno affermato I ricercatori ESET.
Una volta che il codice remoto WebKit è stato eseguito, si è attivata l’esecuzione del Mach-O intermedio che, a sua volta, sfrutta una vulnerabilità di escalation del privilegio locale nel componente del kernel (CVE-2021-30869) con il fine di eseguire il malware come utente root.
Dazzlespy Backdoor
Mentre la sequenza di infezione dettagliata da Google Tag è culminata nell’installazione di un file malevolo chiamato Macma, il malware consegnato ai visitatori del sito radio D100 è stato ricondotto a una nuova backdoor di MacOS che ESET ha chiamato Dazzlespy.
Il malware fornisce agli aggressori “un ampio set di funzionalità per controllare, ed esfiltrarsi file da, un computer compromesso“, hanno spiegato i ricercatori “ed incorpora una serie di altre caratteristiche”:
Raccolta delle informazioni del sistema
Esecuzione dei comandi di shell arbitrari
Dumping ICloud Keychain utilizzando un exploit CVE-2019-8526 se la versione MacOS è inferiore a 10.14.4
Avvio o terminazione di una sessione dello schermo remoto e
Eliminazione della macchina“Questa campagna ha somiglianze con un’altra andata in onda nel 2020, segnalata da Trend Micro e Kaspersky, che ha usato l’iniezione IFRAME sui siti Web destinati ai cittadini di Hong Kong con un exploit di webkit“.
Nonostante le similitudini, non è chiaro se entrambe le campagne fossero orchestrate dallo stesso gruppo.
