Эксперты компании ESET обнаружили новое шпионское ПО DazzleSpy, нацеленное на активистов и демократов в Гонконге. Интересно, что малварь предназначена для macOS и заражает жертв посредством так называемых атак watering hole («водопой»).
Этим термином атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. Обычно так обозначают атаки, в ходе которых злоумышленники внедряют на легитимные сайты вредоносный код, где он и поджидает жертв.
В данном случае исследователи обнаружили взлом сайта продемократической интернет-радиостанции в Гонконге, D100 Radio. На сайт внедрили вредоносные iframe, которые работали с 30 сентября по 4 ноября 2021 года. Кроме того, атакующие зарегистрировали мошеннический сайт fightforhk [.]com, которые тоже был создан с целью привлечения активистов.
Вредоносный код использовался для загрузки файла Mach-O, для чего задействовалась уязвимость удаленного выполнения кода в WebKit, которая была исправлена Apple в феврале 2021 года (CVE-2021-1789).
Таким образом, успешная эксплуатация RCE-бага в WebKit впоследствии запускала выполнение бинарника Mach-O, который, в свою очередь, использовал еще одну исправленную ранее уязвимость для повышения локальных привилегий (CVE-2021-30869) и запускал вредоносное ПО следующей стадии с root-правами.
Эта малварь предоставляла злоумышленникам «большой набор функций для слежки и хищения файлов с взломанного компьютера», в числе которых:
Этим термином атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. Обычно так обозначают атаки, в ходе которых злоумышленники внедряют на легитимные сайты вредоносный код, где он и поджидает жертв.
В данном случае исследователи обнаружили взлом сайта продемократической интернет-радиостанции в Гонконге, D100 Radio. На сайт внедрили вредоносные iframe, которые работали с 30 сентября по 4 ноября 2021 года. Кроме того, атакующие зарегистрировали мошеннический сайт fightforhk [.]com, которые тоже был создан с целью привлечения активистов.
Вредоносный код использовался для загрузки файла Mach-O, для чего задействовалась уязвимость удаленного выполнения кода в WebKit, которая была исправлена Apple в феврале 2021 года (CVE-2021-1789).
Таким образом, успешная эксплуатация RCE-бага в WebKit впоследствии запускала выполнение бинарника Mach-O, который, в свою очередь, использовал еще одну исправленную ранее уязвимость для повышения локальных привилегий (CVE-2021-30869) и запускал вредоносное ПО следующей стадии с root-правами.
Отчет ESET гласит, что атака очень похожа на другую вредоносную кампанию, обнаруженную в прошлом году аналитиками Google TAG. Однако атака, описанная Google, завершалась установкой малвари MACMA, тогда как машины посетителей сайта D100 Radio атаковал бэкдор DazzleSpy.
Эта малварь предоставляла злоумышленникам «большой набор функций для слежки и хищения файлов с взломанного компьютера», в числе которых:
- сбор информации о системе;
- выполнение произвольных шелл-команд;
- скачивание и выгрузка файлов;
- кража iCloud Keychain с использованием эксплоита для уязвимости CVE-2019-8526 (если версия macOS ниже 10.14.4);
- запуск или завершение сеанса удаленного экрана;
- снятие скриншотов, запись аудио, кейлоггинг;
- удаление себя из системы.
