Google avisa que hackers usaram falha de dia zero do macOS, podem capturar pressionamentos de tecla, capturas de tela

O Threat Analysis Group (TAG) do Google revelou que hackers que almejavam visitantes de sites em Hong Kong estavam usando uma falha anteriormente não revelada, ou de dia zero, do macOS para espionar as pessoas. 

A Apple corrigiu o bug, rastreado como CVE-2021-30869, em uma atualização do macOS Catalina em setembro , cerca de um mês depois que os pesquisadores do Google TAG descobriram que ele estava sendo usado. 

“Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de kernel. A Apple está ciente de relatos de que existe um exploit para este problema”, disse a Apple, dando crédito aos pesquisadores do Google TAG por relatar a falha. 

Agora o Google forneceu mais informações, observando que se tratava de um ataque denominado “watering hole”, em que os invasores selecionam sites para comprometer devido ao perfil de visitantes típicos. Os ataques foram direcionados a usuários de Mac e iPhone. 

“Os sites usados ​​para os ataques continham dois iframes que serviam a exploits de um servidor controlado pelo atacante – um para iOS e outro para macOS”, disse Erye Hernandez, do Google TAG . 

O watering hole serviu a uma vulnerabilidade de escalonamento de privilégios XNU naquele ponto sem correção no macOS Catalina, o que levou à instalação de um backdoor.

“Acreditamos que este ator de ameaça seja um grupo com bons recursos, provavelmente apoiado pelo estado, com acesso à sua própria equipe de engenharia de software com base na qualidade do código de carga útil”, acrescentou. 

Os invasores estavam usando a falha divulgada anteriormente no XNU, rastreada como CVE-2020-27932, e uma exploração relacionada para criar um bug de elevação de privilégio que lhes deu acesso root em um Mac direcionado. 

Depois que o acesso root foi obtido, os invasores baixaram uma carga que rodou silenciosamente em segundo plano em Macs infectados. O design do malware sugere um invasor com bons recursos, de acordo com o Google TAG. 

“A carga útil parece ser um produto de extensa engenharia de software. Ela usa um modelo publicar-assinar por meio de uma estrutura de serviço de distribuição de dados (DDS) para se comunicar com o C2. Também tem vários componentes, alguns dos quais parecem ser configurados como módulos , “observa Hernandez. 

O backdoor incluía os traços suspeitos usuais de malware criado para espionar um alvo, incluindo impressão digital do dispositivo, capturas de tela, a capacidade de fazer upload e download de arquivos, bem como executar comandos de terminal. O malware também pode gravar áudio e registrar as teclas digitadas. 

O Google não divulgou os sites visados, mas observou que eles incluíam um “meio de comunicação e um proeminente grupo político e trabalhista pró-democracia” relacionado às notícias de Hong Kong.

Fonte: https://www.zdnet.com/