Les sites piégés ont livré un nouveau cheval de Troie puissant aux utilisateurs de macOS

Les chercheurs ont découvert des logiciels malveillants macOS avancés et inédits qui ont été installés à l’aide d’exploits qu’il était presque impossible pour la plupart des utilisateurs de détecter ou d’arrêter une fois que les utilisateurs ont atterri sur un site Web malveillant.

Le logiciel malveillant était une porte dérobée complète qui a été écrite à partir de zéro, ce qui indique que les développeurs derrière lui disposent de ressources et d’une expertise importantes. DazzleSpy, comme l’ont nommé les chercheurs de la société de sécurité Eset, fournit un éventail de fonctionnalités avancées qui permettent aux attaquants de surveiller et de contrôler entièrement les Mac infectés. Les fonctionnalités incluent:

  • empreinte digitale de l’appareil victime
  • capture d’écran
  • téléchargement/téléchargement de fichiers
  • exécuter les commandes du terminal
  • enregistrement audio
  • enregistrement de frappe

Poches profondes, talent de premier ordre

Les logiciels malveillants pour Mac sont devenus plus courants au fil des ans, mais l’univers des portes dérobées avancées pour macOS reste considérablement plus petit que celui des portes dérobées avancées pour Windows. La sophistication de DazzleSpy, ainsi que la chaîne d’exploitation utilisée pour l’installer, est impressionnante. Il ne semble pas non plus avoir d’équivalent correspondant pour Windows. Cela a conduit Eset à dire que les personnes qui ont développé DazzleSpy sont inhabituelles.

“Tout d’abord, ils semblent cibler uniquement les Mac”, a écrit Marc-Etienne M.Léveillé, chercheur chez Eset, dans un e-mail. « Nous n’avons pas vu de charges utiles pour Windows ni d’indices indiquant qu’il existerait. Deuxièmement, ils ont les ressources nécessaires pour développer des exploits complexes et leur propre malware d’espionnage, ce qui est assez important.

Publicité

En effet, les chercheurs du groupe d’analyse des menaces de Google qui ont découvert les exploits pour la première fois ont déclaré que, sur la base de leur analyse du logiciel malveillant, ils “pensent que cet acteur de la menace est un groupe bien doté en ressources, probablement soutenu par l’État, ayant accès à leur propre ingénierie logicielle”. équipe basée sur la qualité du code de charge utile.

Comme les chercheurs de Google l’ont noté pour la première fois, le logiciel malveillant s’est propagé lors d’attaques de point d’eau qui utilisaient à la fois des sites factices et piratés faisant appel aux militants pro-démocratie à Hong Kong. Les attaques exploitaient des vulnérabilités qui, lorsqu’elles étaient combinées, donnaient aux attaquants la possibilité d’exécuter à distance le code de leur choix en quelques secondes après qu’une victime ait visité la page Web piégée. Pour que l’exploit fonctionne, il suffisait que quelqu’un visite le site malveillant. Aucune autre action de l’utilisateur n’était requise, ce qui en fait une attaque en un clic.

“C’est un peu la partie effrayante : sur un système non corrigé, le logiciel malveillant commencerait à s’exécuter avec des privilèges administratifs sans que la victime ne s’en aperçoive”, a déclaré M.Léveillé. “Le trafic vers le serveur C&C est également crypté à l’aide de TLS.”

Apple a depuis corrigé les vulnérabilités exploitées dans cette attaque.

La chaîne d’exploitation consistait en une vulnérabilité d’exécution de code dans Webkit, le moteur de navigation d’Apple Safari. Les chercheurs d’Eset ont analysé l’un des sites d’abreuvoirs, qui a été supprimé mais reste en cache dans les archives Internet. Le site contenait une simple balise iframe qui se connectait à une page sur amnestyhk[.]org.

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire