Les chercheurs d'ESET analysent un logiciel espion macOS spécial : DazzleSpy attaque les visiteurs d'un site d'information pro-démocratie à Hong Kong en s'exécutant comme un exploit et en s'implantant dans le visiteur du site.
Le site Web de la station de radio de Hong Kong D100 a été compromis. Un exploit Safari s'exécute et installe un logiciel espion sur les Mac des visiteurs du portail d'actualités. Les opérations de "point d'eau" menées par les assaillants indiquent que les cibles sont probablement des personnalités politiquement actives et pro-démocratie à Hong Kong. Les chercheurs d'ESET ont nommé le programme d'espionnage DazzleSpy et l'ont examiné plus en détail. Le logiciel malveillant est capable de collecter un large éventail d'informations sensibles et personnelles.
Opérations point d'eau ciblées
"L'exploit utilisé pour exécuter du code dans le navigateur est assez complexe, impliquant plus de 1.000 XNUMX lignes de code. Fait intéressant, certains d'entre eux suggèrent que la vulnérabilité pourrait également être exploitée sur iOS. Cela affecterait alors également les appareils comme l'iPhone XS et les variantes plus récentes », explique Marc-Étienne Léveillé, chercheur sur les logiciels malveillants chez ESET qui a enquêté sur l'attaque par point d'eau.
Le premier rapport sur les attaques par trou d'eau menant à des exploits pour le navigateur Web Safari sur macOS a été publié par Google en novembre dernier. Les chercheurs d'ESET ont enquêté sur les attaques en même temps que Google et ont découvert des détails supplémentaires sur les cibles et les logiciels malveillants utilisés pour compromettre les victimes. La vulnérabilité a maintenant été corrigée.
Cette campagne partage des similitudes avec la campagne de logiciels malveillants iOS 2020 LightSpy. Ici, les visiteurs d'un site Web de Hong Kong ont été dirigés vers un exploit WebKit utilisant l'élément HTML iframe.
DazzleSpy collecte des informations sur ses cibles
Le programme d'espionnage DazzleSpy est capable d'effectuer une variété d'actions. Le logiciel malveillant peut collecter des informations sur l'ordinateur compromis, rechercher des fichiers spécifiques, analyser des fichiers dans les dossiers Bureau, Téléchargements et Documents, exécuter des commandes shell groupées, démarrer ou terminer une session d'écran à distance et ouvrir un fichier groupé en écriture sur le disque.
Compte tenu de la complexité des exploits utilisés dans cette campagne, les chercheurs d'ESET ont conclu que le groupe à l'origine de cette opération avait des capacités techniques élevées. Il est également intéressant de noter que DazzleSpy applique un cryptage de bout en bout. Par conséquent, le programme malveillant ne communique pas avec son serveur de commande et de contrôle (C&C) si quelqu'un essaie d'écouter la transmission non chiffrée.
Une autre découverte intéressante sur les pirates derrière Dazzlespy est qu'une fois que le logiciel malveillant obtient la date et l'heure actuelles sur un ordinateur compromis, il convertit la date capturée dans le fuseau horaire Asie/Shanghai avant de l'envoyer au serveur C&C. De plus, le logiciel malveillant DazzleSpy contient un certain nombre de messages internes en chinois.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.