Дослідники ESET аналізують спеціальне шпигунське програмне забезпечення для macOS: DazzleSpy атакує відвідувачів продемократичного сайту новин у Гонконзі, запускаючи себе як експлойт і імплантуючи себе у відвідувача сайту.
Веб-сайт гонконгської радіостанції D100 було зламано. Запускається експлойт Safari, який встановлює шпигунське програмне забезпечення на Mac відвідувачів порталу новин. Операції, проведені зловмисниками, вказують на те, що цілями, ймовірно, є політично активні продемократичні діячі Гонконгу. Дослідники ESET назвали шпигунську програму DazzleSpy і розглянули її більш детально. Зловмисне програмне забезпечення здатне збирати широкий спектр конфіденційної та особистої інформації.
Цілеспрямовані роботи водопою
«Експлойт, який використовується для виконання коду в браузері, досить складний і містить понад 1.000 рядків коду. Цікаво, що деякі з них припускають, що вразливість також може бути використана в iOS. Тоді це також вплине на такі пристрої, як iPhone XS і новіші варіанти», — говорить Марк-Етьєн Левейє, дослідник зловмисного програмного забезпечення в ESET, який досліджував атаку водопою.
Перший звіт про атаки водопою, що призвели до експлойтів для веб-браузера Safari на macOS, був опублікований Google у листопаді минулого року. Дослідники ESET досліджували атаки одночасно з Google і виявили додаткові відомості про цілі та зловмисне програмне забезпечення, яке використовується для компрометації жертв. Зараз уразливість виправлено.
Ця кампанія схожа з кампанією зловмисного програмного забезпечення iOS 2020 року LightSpy. Тут відвідувачі веб-сайту з Гонконгу були спрямовані на експлойт WebKit за допомогою HTML-елемента iframe.
DazzleSpy збирає інформацію про свої цілі
Шпигунська програма DazzleSpy здатна виконувати різноманітні дії. Зловмисне програмне забезпечення може збирати інформацію про скомпрометований комп’ютер, шукати певні файли, сканувати файли в папках «Робочий стіл», «Завантаження» та «Документи», виконувати пакетні команди оболонки, запускати або завершувати віддалений сеанс екрану та відкривати пакетний файл, записувати на диск.
Враховуючи складність експлойтів, використаних у цій кампанії, дослідники ESET дійшли висновку, що група, яка стоїть за цією операцією, має високі технічні можливості. Також цікаво, що DazzleSpy забезпечує наскрізне шифрування. У результаті шкідлива програма не зв’язується зі своїм сервером командування та керування (C&C), якщо хтось намагається підслухати незашифровану передачу.
Іншим цікавим відкриттям про хакерів, які стоять за Dazzlespy, є те, що коли зловмисне програмне забезпечення отримує поточну дату й час на скомпрометованому комп’ютері, воно перетворює отриману дату в часовий пояс Азії/Шанхаю, перш ніж надсилати її на сервер C&C. Крім того, шкідлива програма DazzleSpy містить ряд внутрішніх повідомлень китайською мовою.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.