Google alerta: Hackers estão explorando falha de dia zero no macOS
O Threat Analysis Group (TAG) do Google alertou sobre a exploração de uma falha não divulgada ou de dia zero no macOS por cibercriminosos. Os hackers estão direcionando visitantes para sites em Hong Kong para espionagem.
O que aconteceu?
O Google observou que os hackers estavam usando um ataque watering hole. Nesse ataque, os sites visados são normalmente selecionados pelos invasores com base no perfil de seus visitantes.
- Os sites visados estavam relacionados a veículos de notícias de Hong Kong, trabalho pró-democracia e grupos políticos.
- No entanto, o nome dos sites visados não foi divulgado pelos pesquisadores.
- Os ataques foram direcionados a usuários de Mac e iPhone. Os sites usados nos ataques incluíram dois iframes que atendem a explorações (um para iOS e outro para macOS) de um servidor do invasor.
Cadeias de exploração
O ataque watering hole consistiu em diferentes cadeias de exploit para iOS e Mac, que incluíram a exploração de vários bugs encadeados.
- A exploração do macOS inclui um bug RCE conhecido ( CVE-2021-1789 ) no WebKit e uma falha de escalonamento de privilégio local de 0 dia recém-descoberta ( CVE-2021-30869 ) no XNU.
- Depois de ter acesso ao root, um payload foi baixado em Macs infectados que rodou silenciosamente em segundo plano.
- A exploração do iOS usou uma estrutura baseada no IronSquirrel. Os pesquisadores não conseguiram rastrear a cadeia completa, mas identificaram que o CVE-2019-8506 estava envolvido.
Informações adicionais
De acordo com os pesquisadores, o design da carga útil do malware sugeriu que os invasores possuem bons recursos, e talvez apoiados pelo estado, com acesso à sua própria equipe de engenharia de software.
- A carga útil usou o modelo publicar-assinar com a estrutura do Data Distribution Service (DDS) para se comunicar com C2.
- Possui vários componentes, alguns deles parecem estar configurados como módulos.
- O backdoor tem recursos de espionagem, como impressão digital do dispositivo e capturas de tela, a capacidade de fazer upload e download de arquivos e executar comandos de terminal. Além disso, pode gravar áudio e registrar as teclas digitadas.
Conclusão
Os cibercriminosos não deixam pedra sobre pedra quando se trata de explorar uma falha de dia zero ou não corrigida. No entanto, a Apple respondeu rapidamente e corrigiu a vulnerabilidade crítica. Para melhor proteção, as organizações devem ter um programa de patching robusto e automatizado.
Fonte: https://www.zdnet.com/
