Los investigadores de ESET analizan un software espía especial para macOS: DazzleSpy ataca a los visitantes del sitio de noticias a favor de la democracia en Hong Kong ejecutándose como un exploit e implantándose en el visitante del sitio.
El sitio web de la estación de radio D100 de Hong Kong se vio comprometido. Se ejecuta un exploit de Safari que instala software espía en las Mac de los visitantes del portal de noticias. Las operaciones de "abrevadero" llevadas a cabo por los atacantes indican que los objetivos son probablemente figuras políticamente activas a favor de la democracia en Hong Kong. Los investigadores de ESET llamaron al programa espía DazzleSpy y lo examinaron con más detalle. El malware es capaz de recopilar una amplia gama de información confidencial y personal.
Operaciones de abrevadero dirigidas
“El exploit utilizado para ejecutar código en el navegador es bastante complejo e involucra más de 1.000 líneas de código. Curiosamente, algunos de ellos sugieren que la vulnerabilidad también podría explotarse en iOS. Esto también afectaría a dispositivos como el iPhone XS y variantes más nuevas”, dice Marc-Étienne Léveillé, investigador de malware de ESET que investigó el ataque del abrevadero.
Google publicó el primer informe sobre los ataques de pozos de agua que conducen a exploits para el navegador web Safari en macOS en noviembre pasado. Los investigadores de ESET investigaron los ataques al mismo tiempo que Google y descubrieron detalles adicionales sobre los objetivos y el malware utilizado para comprometer a las víctimas. La vulnerabilidad ahora ha sido reparada.
Esta campaña comparte similitudes con la campaña de malware de iOS 2020 LightSpy. Aquí, los visitantes de un sitio web de Hong Kong fueron conducidos a un exploit de WebKit utilizando el iframe del elemento HTML.
DazzleSpy recopila información sobre sus objetivos
El programa espía DazzleSpy es capaz de realizar una variedad de acciones. El malware puede recopilar información sobre la computadora comprometida, buscar archivos específicos, escanear archivos en las carpetas Escritorio, Descargas y Documentos, ejecutar comandos de shell incluidos, iniciar o finalizar una sesión de pantalla remota y abrir un archivo incluido en el disco.
Dada la complejidad de los exploits utilizados en esta campaña, los investigadores de ESET concluyeron que el grupo detrás de esta operación tiene altas capacidades técnicas. También es interesante que DazzleSpy aplica el cifrado de extremo a extremo. Como resultado, el programa malicioso no se comunica con su servidor de comando y control (C&C) si alguien intenta espiar la transmisión sin cifrar.
Otro hallazgo interesante sobre los piratas informáticos detrás de Dazzlespy es que una vez que el malware obtiene la fecha y la hora actuales en una computadora comprometida, convierte la fecha capturada a la zona horaria de Asia/Shanghai antes de enviarla al servidor de C&C. Además, el malware DazzleSpy contiene varios mensajes internos en chino.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.