Webbplatser som har smutsfångade ger macOS-användare kraftfulla nya bakdörrstrojaner

Webbplatser som har smutsfångade ger macOS-användare kraftfulla nya bakdörrstrojaner

Forskare har avslöjat avancerad, aldrig tidigare skådad macOS-skadlig programvara som installerades med ett utnyttjande som var nästan omöjligt för de flesta användare att upptäcka eller stoppa när användare besökte en skadlig webbplats.

Skadlig programvara var en fullfjädrad bakdörr som skrevs från grunden, ett tecken på att utvecklarna bakom det har betydande resurser och expertis. DazzleSpy, som forskare vid säkerhetsföretaget Asset kallade det, erbjuder en rad avancerade funktioner som ger angripare möjligheten att helt övervaka och kontrollera infekterade Mac-datorer. funktioner inkluderar:

Offert enhet fingeravtryck skärmfångst fil ladda ner/ladda upp kör terminal kommando ljudinspelning keylogging

djupa fickor, topptalang

Mac-skadlig programvara har blivit vanligare med åren, men universum av avancerade macOS-bakdörrar är mycket mindre än det för avancerade bakdörrar för Windows. Sofistikeringen av DazzleSpy – såväl som exploateringskedjan som användes för att konfigurera den – är imponerande. Det verkar inte finnas någon motsvarande motsvarighet för Windows. Detta har fått Asset att säga att personerna som utvecklade DazzleSpy är ovanliga.

“Först och främst riktar de sig bara mot Mac”, skrev tillgångsforskaren Marc-tienne M.Leville i ett mejl. “Vi har inte sett nyttolasten för Windows och det finns inte heller ledtrådar om att den kommer att existera. För det andra har de resurserna att utveckla komplexa utnyttjande och sin egen spionprogramvara, vilket är ganska betydande.”

Annons

Faktum är att forskare från Googles Threat Analysis Group som First exploits avslöjade att de, baserat på sin analys av skadlig programvara, “anse den här hotaktören vara en grupp med bra resurser, som potentiellt konstruerar sin egen programvara baserad på statligt stödd nyttolastkod kvalitet.” Med tillgång till laget.”

Som Google-forskare först noterade spred sig skadlig programvara i vattenhålsattacker, som använde både falska och hackade webbplatser för att locka prodemokratiska aktivister till Hongkong. Attackerna utnyttjade sårbarheter som, när de kombinerades, gav angripare möjligheten att fjärrexekvera kod som de valt inom några sekunder efter att de besökt offrets booby-trap-webbsida. Allt som behövdes för att utnyttjandet skulle fungera var att någon besökte den skadliga webbplatsen. Ingen ytterligare användaråtgärd krävdes, vilket gör detta till en attack med ett klick.

“Det är lite av den skrämmande delen: På ett oprivilegierat system kommer skadlig programvara att börja köras med administrativa privilegier utan att offret märker det,” sa M.Leville. “Trafiken till C&C-servrarna är också krypterad med TLS.”

Apple har sedan dess åtgärdat de sårbarheter som användes i denna attack.

Exploateringskedjan inkluderade en sårbarhet för kodexekvering i WebKit, webbläsarmotorn för Apple Safari. Tillgångsforskare analyserade en av vattenhålsplatserna, som hade tagits ner men förblir cachad i Internet Archives. Webbplatsen har en enkel iframe-tagg som är amnestyhk. länkad till en sida av[.]Organisation