Google alerta: Hackers estão explorando falha de dia zero no macOS

O que aconteceu?

O Google observou que os hackers estavam usando um ataque watering hole. Nesse ataque, os sites visados ​​são normalmente selecionados pelos invasores com base no perfil de seus visitantes. 

• Os sites visados ​​estavam relacionados a veículos de notícias de Hong Kong, trabalho pró-democracia e grupos políticos.
• No entanto, o nome dos sites visados ​​não foi divulgado pelos pesquisadores.
• Os ataques foram direcionados a usuários de Mac e iPhone. Os sites usados ​​nos ataques incluíram dois iframes que atendem a explorações (um para iOS e outro para macOS) de um servidor do invasor.

Cadeias de exploração

O ataque watering hole consistiu em diferentes cadeias de exploit para iOS e Mac, que incluíram a exploração de vários bugs encadeados. 

• A exploração do macOS inclui um bug RCE conhecido ( CVE-2021-1789 ) no WebKit e uma falha de escalonamento de privilégio local de 0 dia recém-descoberta ( CVE-2021-30869 ) no XNU.
• Depois de ter acesso ao root, um payload foi baixado em Macs infectados que rodou silenciosamente em segundo plano.
• A exploração do iOS usou uma estrutura baseada no IronSquirrel. Os pesquisadores não conseguiram rastrear a cadeia completa, mas identificaram que o CVE-2019-8506 estava envolvido.

Informações adicionais

De acordo com os pesquisadores, o design da carga útil do malware sugeriu que os invasores possuem bons recursos, e talvez apoiados pelo estado, com acesso à sua própria equipe de engenharia de software.

• A carga útil usou o modelo publicar-assinar com a estrutura do Data Distribution Service (DDS) para se comunicar com C2.
• Possui vários componentes, alguns deles parecem estar configurados como módulos.
• O backdoor tem recursos de espionagem, como impressão digital do dispositivo e capturas de tela, a capacidade de fazer upload e download de arquivos e executar comandos de terminal. Além disso, pode gravar áudio e registrar as teclas digitadas.

Conclusão

Os cibercriminosos não deixam pedra sobre pedra quando se trata de explorar uma falha de dia zero ou não corrigida. No entanto, a Apple respondeu rapidamente e corrigiu a vulnerabilidade crítica. Para melhor proteção, as organizações devem ter um programa de patching robusto e automatizado.

Fonte: https://www.zdnet.com/