Os pesquisadores da ESET analisam um software espião macOS especial: DazzleSpy ataca visitantes do site de notícias pró-democracia em Hong Kong, executando-se como uma exploração e implantando-se no visitante do site.
O site da estação de rádio D100 de Hong Kong foi comprometido. Uma exploração do Safari é executada e instala spyware nos Macs dos visitantes do portal de notícias. As operações de "watering hole" realizadas pelos atacantes indicam que os alvos provavelmente são figuras politicamente ativas e pró-democracia em Hong Kong. Os pesquisadores da ESET nomearam o programa espião DazzleSpy e o examinaram com mais detalhes. O malware é capaz de coletar uma ampla gama de informações confidenciais e pessoais.
Operações de bebedouros direcionados
“O exploit usado para executar o código no navegador é bastante complexo, envolvendo mais de 1.000 linhas de código. Curiosamente, alguns deles sugerem que a vulnerabilidade também pode ser explorada no iOS. Isso também afetaria dispositivos como o iPhone XS e variantes mais recentes”, diz Marc-Étienne Léveillé, pesquisador de malware da ESET que investigou o ataque watering hole.
O primeiro relatório sobre os ataques watering hole levando a exploits para o navegador Safari no macOS foi publicado pelo Google em novembro passado. Os pesquisadores da ESET investigaram os ataques ao mesmo tempo que o Google e descobriram detalhes adicionais sobre os alvos e o malware usado para comprometer as vítimas. A vulnerabilidade já foi corrigida.
Esta campanha compartilha semelhanças com a campanha de malware para iOS de 2020 LightSpy. Aqui, os visitantes de um site de Hong Kong foram levados a uma exploração do WebKit usando o iframe do elemento HTML.
DazzleSpy coleta informações sobre seus alvos
O programa espião DazzleSpy é capaz de realizar uma variedade de ações. O malware pode coletar informações sobre o computador comprometido, procurar arquivos específicos, verificar arquivos nas pastas Desktop, Downloads e Documentos, executar comandos de shell integrados, iniciar ou encerrar uma sessão de tela remota e abrir um arquivo integrado gravado em disco.
Dada a complexidade dos exploits usados nesta campanha, os pesquisadores da ESET concluíram que o grupo por trás desta operação possui alta capacidade técnica. Também interessante é que o DazzleSpy reforça a criptografia de ponta a ponta. Como resultado, o programa malicioso não se comunica com seu servidor de comando e controle (C&C) se alguém tentar escutar a transmissão não criptografada.
Outra descoberta interessante sobre os hackers por trás do Dazzlespy é que, uma vez que o malware obtém a data e hora atuais em um computador comprometido, ele converte a data capturada para o fuso horário da Ásia/Xangai antes de enviá-la para os envios do servidor C&C. Além disso, o malware DazzleSpy contém várias mensagens internas em chinês.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.