I ricercatori ESET analizzano uno speciale software spia per macOS: DazzleSpy attacca i visitatori del sito di notizie pro-democrazia a Hong Kong eseguendo se stesso come un exploit e impiantandosi nel visitatore del sito.
Il sito web della stazione radio D100 di Hong Kong è stato compromesso. Viene eseguito un exploit Safari che installa spyware sui Mac dei visitatori del portale di notizie. Le operazioni di "irrigazione" condotte dagli aggressori indicano che gli obiettivi sono probabilmente figure politicamente attive e pro-democrazia a Hong Kong. I ricercatori ESET hanno chiamato il programma spia DazzleSpy e lo hanno esaminato in modo più dettagliato. Il malware è in grado di raccogliere una vasta gamma di informazioni sensibili e personali.
Operazioni mirate di abbeveratoi
"L'exploit utilizzato per eseguire il codice nel browser è piuttosto complesso e coinvolge più di 1.000 righe di codice. È interessante notare che alcuni di loro suggeriscono che la vulnerabilità potrebbe essere sfruttata anche su iOS. Ciò interesserebbe quindi anche dispositivi come l'iPhone XS e le varianti più recenti", afferma Marc-Étienne Léveillé, ricercatore di malware presso ESET che ha indagato sull'attacco all'abbeveratoio.
Il primo rapporto sugli attacchi watering hole che portano a exploit per il browser Web Safari su macOS è stato pubblicato da Google lo scorso novembre. I ricercatori ESET hanno indagato sugli attacchi contemporaneamente a Google e hanno scoperto ulteriori dettagli sugli obiettivi e sul malware utilizzato per compromettere le vittime. La vulnerabilità è stata ora corretta.
Questa campagna condivide somiglianze con la campagna antimalware per iOS del 2020 LightSpy. Qui, i visitatori di un sito Web di Hong Kong sono stati portati a un exploit WebKit utilizzando l'elemento HTML iframe.
DazzleSpy raccoglie informazioni sui suoi obiettivi
Il programma spia DazzleSpy è in grado di eseguire una varietà di azioni. Il malware può raccogliere informazioni sul computer compromesso, cercare file specifici, eseguire la scansione dei file nelle cartelle Desktop, Download e Documenti, eseguire comandi shell in bundle, avviare o terminare una sessione di schermate remote e aprire un file in bundle scritto su disco.
Data la complessità degli exploit utilizzati in questa campagna, i ricercatori ESET hanno concluso che il gruppo dietro questa operazione ha elevate capacità tecniche. Interessante anche il fatto che DazzleSpy applica la crittografia end-to-end. Di conseguenza, il programma dannoso non comunica con il suo server di comando e controllo (C&C) se qualcuno tenta di intercettare la trasmissione non crittografata.
Un'altra scoperta interessante sugli hacker dietro Dazzlespy è che una volta che il malware ottiene la data e l'ora correnti su un computer compromesso, converte la data acquisita nel fuso orario Asia/Shanghai prima di inviarla al server C&C. Inoltre, il malware DazzleSpy contiene una serie di messaggi interni in lingua cinese.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.