Los piratas informáticos aprovechan macOS Zero-Day para piratear a los usuarios de Hong Kong con un nuevo implante

09:49 16/11/2021 | 2 Lượt xem

macOS de día cero

Los investigadores de Google informaron el jueves que encontraron un ataque de pozo de agua a fines de agosto, explotando un sistema operativo de día cero ahora parcheado en macOS y apuntando a sitios de Hong Kong relacionados con los medios de comunicación y un prominente grupo político y laboral a favor de la democracia para introducir un nunca- puerta trasera antes vista en máquinas comprometidas.

“Según nuestros hallazgos, creemos que este actor de amenazas es un grupo con buenos recursos, probablemente respaldado por el estado, con acceso a su propio equipo de ingeniería de software basado en la calidad del código de carga útil”, dijo el investigador de amenazas de Google Analysis Group (TAG). , Dijo Erye Hernandez en un informe.

Rastreado como CVE-2021-30869 (pontuação CVSS: 7,8), a falha de segurança diz respeito a uma vulnerabilidade de confusão de tipo que afeta o componente do kernel XNU que pode fazer com que um aplicativo malicioso execute código arbitrário com os privilégios más alto.

Copias de seguridad automáticas de GitHub

Apple abordó originalmente el problema para los dispositivos macOS Big Sur como parte de una actualización de seguridad lanzada el 1 de febrero, solo para seguir con una actualización independiente dirigida a los dispositivos macOS Catalina el 23 de septiembre luego de los informes de explotación en la naturaleza: un día 234 brecha entre los dos parches: destacando un caso de cómo los agentes de amenazas pueden aprovechar las inconsistencias en la resolución de una vulnerabilidad en diferentes versiones del sistema operativo en su beneficio.

macOS de día cero

Los ataques observados por TAG involucraron una cadena de exploits que fusionó CVE-2021-1789, un error de ejecución de código remoto en WebKit que se solucionó en febrero de 2021, y el mencionado CVE-2021-30869 para escapar del sandbox de Safari, elevar los privilegios y descargar y ejecutar una carga útil de segunda etapa llamada “MACMA” desde un servidor remoto.

macOS de día cero

Este malware previamente indocumentado, un implante con todas las funciones, está marcado por una “ingeniería de software extensa” con capacidades para grabar audio y pulsaciones de teclas, tomar huellas dactilares del dispositivo, capturar pantalla, descargar y cargar archivos arbitrarios y ejecutar comandos de terminal maliciosos, dijo Google TAG. . Las muestras de puerta trasera cargadas a VirusTotal revelan que ninguno de los motores anti-malware detecta actualmente los archivos como maliciosos.

Evite las filtraciones de datos

Según el investigador de seguridad Patrick Wardle, una variante 2019 de MACMA que se hace pasar por Adobe Flash Player, con el binario mostrando un mensaje de error en chino posterior a la instalación que sugiere que “el malware está dirigido a usuarios chinos” y que “esta versión del malware está diseñado para ser implementado a través de métodos de ingeniería social “. La versión 2021, por otro lado, está diseñada para la explotación remota.

Los sitios web, que contenían código malicioso para servir exploits desde un servidor controlado por el atacante, también actuaron como un abrevadero para los usuarios de iOS, aunque utilizando una cadena de exploits diferente entregada a los navegadores de las víctimas. Google TAG dijo que solo pudo recuperar una parte del flujo de infección, donde se usó un error de confusión del tipo (CVE-2019-8506) para que el código se ejecutara en Safari.

Puede acceder a los indicadores de compromiso adicionales (IoC) asociados con la campaña aquí.

Related Posts

lên đầu trang