Porte Dérobée Dazzlespy

Un logiciel malveillant de cyberespionnage non documenté précédemment visant le système d’exploitation macOS d’Apple a exploité un exploit du navigateur Web Safari dans le cadre d’une attaque de point d’eau ciblant des personnes politiquement actives et pro-démocratie à Hong Kong.

Entreprise slovaque de cybersécurité ESET attribué l’intrusion d’un acteur doté de « fortes capacités techniques », dénonçant les chevauchements de la campagne avec celle d’une offensive numérique similaire divulguée par Google Threat Analysis Group (TAG) en novembre 2021.

La chaîne d’attaque impliquait de compromettre un site Web légitime appartenant à D100 Radio, une station de radio Internet pro-démocratie à Hong Kong, pour injecter des images en ligne malveillantes (alias iframes) entre le 30 septembre et le 4 novembre 2021.

Sauvegardes Github Automatiques

Dans la phase suivante, le code trafiqué a agi comme un conduit pour charger un Mach-O fichier en exploitant un bogue d’exécution de code à distance dans WebKit qui a été corrigé par Apple en février 2021 (CVE-2021-1789). « L’exploit utilisé pour obtenir l’exécution de code dans le navigateur est assez complexe et comportait plus de 1 000 lignes de code une fois bien formatées », ont déclaré les chercheurs d’ESET.

Le succès de l’exécution du code à distance WebKit déclenche ensuite l’exécution du binaire intermédiaire Mach-O qui, à son tour, exploite une vulnérabilité d’escalade de privilèges locale désormais corrigée dans le composant du noyau (CVE-2021-30869) pour exécuter le logiciel malveillant de la prochaine étape. en tant qu’utilisateur racine.

Publicité
Porte Dérobée Dazzlespy

Alors que la séquence d’infection détaillée par Google TAG a abouti à l’installation d’un implant appelé MACMA, le malware livré aux visiteurs du site D100 Radio était une nouvelle porte dérobée macOS qu’ESET a baptisée DazzleEspion.

Le logiciel malveillant fournit aux attaquants « un large éventail de fonctionnalités pour contrôler et exfiltrer des fichiers à partir d’un ordinateur compromis », ont expliqué les chercheurs, en plus d’incorporer un certain nombre d’autres fonctionnalités, notamment –

  • Informations sur le système de récolte
  • Exécuter des commandes shell arbitraires
  • Vidage du trousseau iCloud à l’aide d’un CVE-2019-8526 exploiter si la version de macOS est inférieure à 10.14.4
  • Démarrer ou terminer une session d’écran à distance, et
  • Se supprimer de la machine

« Cette campagne présente des similitudes avec celle de 2020 où le malware LightSpy iOS (décrit par Trend Micro et Kaspersky) a été distribué de la même manière, en utilisant l’injection d’iframe sur des sites Web pour les citoyens de Hong Kong menant à un exploit WebKit », ont déclaré les chercheurs. Cela dit, il n’est pas immédiatement clair si les deux campagnes ont été orchestrées par le même groupe.

Rate this post
Publicité
Article précédentLancement de la formation d’enquêteur sur les crypto-monnaies pour l’armée américaine
Article suivantHalo Infinite pour suivre Fortnite en ajoutant des crédits gratuits à son Battle Pass
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici