ESET odhalil nový macOS malvér DazzleSpy, útočí na návštevníkov prodemokratického média v Hongkongu

Ďalší článok
blog_banner_eset_banner
  • Takzvaný „watering hole“ útok skompromitoval webovú stránku prodemokratickej rádiovej stanice v Hongkongu.
  • Útočníci zneužili zraniteľnosť prehliadača Safari, aby návštevníkom stránky s počítačmi Mac nainštalovali malvér DazzleSpy.
  • Škodlivý kód je schopný širokej škály špionážnych aktivít.
  • Útočníci pravdepodobne cielili na politicky aktívnych a prodemokraticky naladených obyvateľov Hongkongu.
  • Zraniteľnosť mohla byť zneužitá aj na operačnom systéme iOS, dokonca na zariadeniach ako iPhone XS a novších. Tento útok vykazuje podobnosti s kampaňou v roku 2020, pri ktorej bol iOS malvér LightSpy šírený takým istým spôsobom.  
  • Výskumníci spoločnosti ESET predpokladajú, že skupina zodpovedná za útoky disponuje silnými technickými zručnosťami. 
  • Malvér používa čínsky čas a obsahuje viacero interných odkazov v čínskom jazyku. 


Výskumníci spoločnosti ESET odhalili, že spravodajská webová stránka prodemokratického hongkongského rádia D100 bola nedávno skompromitovaná exploitom zneužívajúcim zraniteľnosť prehliadača Safari, aby návštevníkom s počítačmi Mac nainštalovala špionážny malvér. Kybernetickí zločinci pritom použili takzvaný „watering hole“ útok, pričom pravdepodobne cielili na politicky aktívnych a prodemokraticky naladených obyvateľov Hongkongu. ESET pomenoval nový macOS malvér rozšírený medzi návštevníkov stránky ako DazzleSpy. Tento škodlivý kód dokáže zbierať širokú škálu citlivých a osobných údajov. 

„Watering hole“ útoky kompromitujú webové stránky, ktoré pravdepodobne navštívia objekty záujmu kybernetických útočníkov, čím sa otvoria dvere k infikovaniu ich zaradení. Názov aj podstata útoku je odvodená od lovu. Namiesto toho aby lovec prenasledoval svoju korisť, počká ju na mieste, kde pravdepodobne príde sama. Zvyčajne je to vodný zdroj alebo napájadlo (z angličtiny watering hole), ku ktorému obeť skôr či neskôr príde a útočník následne zaútočí.  

Prvé správy o watering hole útokoch zneužívajúcich webový prehliadač Safari na počítačoch s operačným systémom macOS priniesla spoločnosť Google ešte v novembri minulého roka. Experti spoločnosti ESET skúmali tieto útoky v tom istom čase ako Google, pričom odhalili ďalšie podrobnosti o cieľoch útokov aj o malvéri použitom na skompromitovanie obetí. ESET potvrdil, že záplata, ktorú identifikoval Google, odstráni zraniteľnosť prehliadača Safari zneužitú pri útokoch. 

„Exploit použitý v prehliadači je pomerne komplexný a obsahuje viac ako 1 000 zdrojových riadkov kódu. Určite je zaujímavé spomenúť, že časti kódu naznačujú možné zneužitie zraniteľnosti aj na operačnom systéme iOS, dokonca aj na zariadeniach ako iPhone XS a novších,“ vysvetľuje Marc-Étienne Léveillé, výskumník spoločnosti ESET. 

Táto kampaň vykazuje podobnosti s operáciou v roku 2020, pri ktorej bol iOS malvér LightSpy šírený takým istým spôsobom. Iframe vložený do stránok určených pre občanov Hongkongu vtedy naviedol návštevníkov k Webkit zraniteľnosti. 

Škodlivý kód DazzleSpy je schopný širokej škály špionážnych aktivít. Dokáže zbierať informácie o skompromitovanom počítači, vyhľadávať špecifické súbory, prehľadať plochu, stiahnuté súbory a priečinky dokumentov, spúšťať príkazové riadky, spustiť a ukončiť vzdialený prístup k obrazovke a zapísať dodaný súbor na disk. 

Vzhľadom na komplexnosť exploitov použitých v tejto kampani, výskumníci spoločnosti ESET usudzujú, že skupina zodpovedná za útoky disponuje silnými technickými zručnosťami. Taktiež je zaujímavé, že v škodlivom kóde DazzleSpy je vynútené end-to-end šifrovanie. Ak by sa aj niekto pokúsil o zachytenie nešifrovaného prenosu, malvér so svojím riadiacim serverom nebude komunikovať.

Ďalším zaujímavým zistením je, že akonáhle malvér získa na skompromitovanom počítači aktuálny dátum a čas, ešte pred ich odoslaním riadiacemu serveru zmení tieto údaje podľa časového pásma Čínskeho štandardného času. DazzleSpy navyše obsahuje viacero interných odkazov v čínskom jazyku. 

Viac technických informácií sa dočítate v špeciálnom blogu na našej stránke WeLiveSecurity. 


O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.