Hàng loạt máy macOS là đích nhắm lây nhiễm mã độc qua lỗi backdoor tên DazzleSpy
Một mã độc gián điệp mạng chưa từng được ghi lại trước đây nhắm vào hệ điều hành macOS của Apple đã tận dụng việc khai thác lỗ hổng trên trình duyệt web Safari, như một phần của cuộc tấn công watering hole nhắm vào các cá nhân ủng hộ dân chủ hoạt động chính trị tích cực ở Hồng Kông.
Công ty an ninh mạng ESET của Slovakia cho rằng vụ xâm nhập là do một tác nhân có “năng lực kỹ thuật cao”. Họ chỉ ra các điểm trùng lặp của chiến dịch với một cuộc tấn công kỹ thuật số tương tự do Nhóm phân tích mối đe dọa của Google (TAG) phát hiện vào tháng 11/2021.
Chuỗi các cuộc tấn công liên quan đến việc xâm nhập một trang web hợp pháp thuộc D100 Radio, một đài phát thanh radio trên internet ủng hộ dân chủ ở Hồng Kông nhằm phát tán các khung nội tuyến độc hại (hay còn gọi là iframe) trong khoảng thời gian từ ngày 30/9 đến ngày 4/11/2021. Ngoài ra một trang web lừa đảo có tên là “fightforhk [.] com ”cũng đã được đăng ký với mục đích đánh lừa các nhà hoạt động giải phóng.
Trong giai đoạn tiếp theo, mã độc giả mạo hoạt động như một đường dẫn để tải tệp file Mach-O bằng cách tận dụng lỗ hổng thực thi mã từ xa trong WebKit đã được Apple khắc phục vào tháng 2/2021 (CVE-2021-1789). Các chuyên gia của ESET cho biết: “Việc khai thác lỗ hổng để có thể thực thi mã trong trình duyệt khá phức tạp và có đến hơn 1.000 dòng mã”.
Việc thực thi mã từ xa thành công trên WebKit qua đó kích hoạt việc thực thi mã nhị phân Mach-O trung gian và khai thác lỗ hổng leo thang đặc quyền cục bộ hiện đã được vá trong thành phần hạt nhân (CVE-2021-30869) để có thể chạy mã độc ở giai đoạn tiếp theo với tư cách là người dùng root.
Trong khi trình tự lây nhiễm được nhóm Google TAG trình bày chi tiết với đỉnh điểm là việc cài đặt một thiết bị cấy ghép có tên MACMA, mã độc được phát tán cho người dùng cập trang web D100 Radio là một cửa hậu macOS mới mà ESET có đặt biệt danh là DazzleSpy.
Các chuyên gia giải thích rằng mã độc này cung cấp cho những kẻ tấn công: “Nhiều chức năng để kiểm soát và trích xuất các file khỏi máy tính bị xâm nhập”. Ngoài ra còn có kết hợp một số tính năng khác bao gồm:
Thu thập thông tin hệ thống
Thực thi các lệnh shell tùy ý
Đánh cắp mật khẩu iCloud sử dụng một lỗ hổng CVE-2019-8526 nếu phiên bản macOS cũ hơn bản 10.14.4
Bắt đầu hoặc kết thúc một phiên chia sẻ màn hình từ xa
Tự xóa chính nó khỏi thiết bị
Một trong số những phát hiện thú vị khác về cuộc tấn công đó là sau khi mã độc lấy được ngày và giờ hiện tại của máy tính bị xâm nhập, nó sẽ chuyển đổi ngày giờ thu được sang múi giờ Châu Á / Thượng Hải (hay còn gọi là Giờ chuẩn Trung Quốc), trước khi gửi đến máy chủ điều khiển.
Các chuyên gia cho biết: “Chiến dịch này có những điểm tương đồng với chiến dịch từ năm 2020 khi mà mã độc iOS LightSpy (được mô tả bởi Trend Micro và Kaspersky) được phát tán theo cùng một cách, sử dụng phương thức chèn iframe vào các trang web dành cho công dân Hồng Kông dẫn đến việc khai thác lỗ hổng WebKit”. Tuy nhiên hiện chưa rõ rằng liệu cả hai chiến dịch được tổ chức bởi cùng một nhóm hay không.
Theo Thehackernews
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Khi chuỗi cung ứng bị tấn công: Tác động và bài họ...
- Tuần lễ An ninh mạng Châu Á - Thái Bình Dương 2024...
- Kaspersky nêu bật những thách thức của AI trong th...
- Bối cảnh mối đe dọa an ninh mạng: Những mối đe dọa...
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- NTS trao 150 quà tặng cho các em học sinh vượt khó...