Categories: ALERTAS

Google alerta: Hackers estão explorando falha de dia zero no macOS

O que aconteceu?

O Google observou que os hackers estavam usando um ataque watering hole. Nesse ataque, os sites visados são normalmente selecionados pelos invasores com base no perfil de seus visitantes.

Os sites visados estavam relacionados a veículos de notícias de Hong Kong, trabalho pró-democracia e grupos políticos.
No entanto, o nome dos sites visados não foi divulgado pelos pesquisadores.
Os ataques foram direcionados a usuários de Mac e iPhone. Os sites usados nos ataques incluíram dois iframes que atendem a explorações (um para iOS e outro para macOS) de um servidor do invasor.

Cadeias de exploração

O ataque watering hole consistiu em diferentes cadeias de exploit para iOS e Mac, que incluíram a exploração de vários bugs encadeados.

A exploração do macOS inclui um bug RCE conhecido ( CVE-2021-1789 ) no WebKit e uma falha de escalonamento de privilégio local de 0 dia recém-descoberta ( CVE-2021-30869 ) no XNU.
Depois de ter acesso ao root, um payload foi baixado em Macs infectados que rodou silenciosamente em segundo plano.
A exploração do iOS usou uma estrutura baseada no IronSquirrel. Os pesquisadores não conseguiram rastrear a cadeia completa, mas identificaram que o CVE-2019-8506 estava envolvido.

Informações adicionais

De acordo com os pesquisadores, o design da carga útil do malware sugeriu que os invasores possuem bons recursos, e talvez apoiados pelo estado, com acesso à sua própria equipe de engenharia de software.

A carga útil usou o modelo publicar-assinar com a estrutura do Data Distribution Service (DDS) para se comunicar com C2.
Possui vários componentes, alguns deles parecem estar configurados como módulos.
O backdoor tem recursos de espionagem, como impressão digital do dispositivo e capturas de tela, a capacidade de fazer upload e download de arquivos e executar comandos de terminal. Além disso, pode gravar áudio e registrar as teclas digitadas.

Conclusão

Os cibercriminosos não deixam pedra sobre pedra quando se trata de explorar uma falha de dia zero ou não corrigida. No entanto, a Apple respondeu rapidamente e corrigiu a vulnerabilidade crítica. Para melhor proteção, as organizações devem ter um programa de patching robusto e automatizado.

Fonte: https://www.zdnet.com/

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.