Hàng loạt máy macOS là đích nhắm lây nhiễm mã độc qua lỗi backdoor tên DazzleSpy

www.tuoitre.vn -   15/02/2022 12:00:00 321

Một mã độc gián điệp mạng chưa từng được ghi lại trước đây nhắm vào hệ điều hành macOS của Apple đã tận dụng việc khai thác lỗ hổng trên trình duyệt web Safari, như một phần của cuộc tấn công watering hole nhắm vào các cá nhân ủng hộ dân chủ hoạt động chính trị tích cực ở Hồng Kông.

Hàng loạt máy macOS là đích nhắm lây nhiễm mã độc qua lỗi backdoor tên DazzleSpy

Công ty an ninh mạng ESET của Slovakia cho rằng vụ xâm nhập là do một tác nhân có “năng lực kỹ thuật cao”. Họ chỉ ra các điểm trùng lặp của chiến dịch với một cuộc tấn công kỹ thuật số tương tự do Nhóm phân tích mối đe dọa của Google (TAG) phát hiện vào tháng 11/2021.

Chuỗi các cuộc tấn công liên quan đến việc xâm nhập một trang web hợp pháp thuộc D100 Radio, một đài phát thanh radio trên internet ủng hộ dân chủ ở Hồng Kông nhằm phát tán các khung nội tuyến độc hại (hay còn gọi là iframe) trong khoảng thời gian từ ngày 30/9 đến ngày 4/11/2021. Ngoài ra một trang web lừa đảo có tên là “fightforhk [.] com ”cũng đã được đăng ký với mục đích đánh lừa các nhà hoạt động giải phóng.

Trong giai đoạn tiếp theo, mã độc giả mạo hoạt động như một đường dẫn để tải tệp file Mach-O bằng cách tận dụng lỗ hổng thực thi mã từ xa trong WebKit đã được Apple khắc phục vào tháng 2/2021 (CVE-2021-1789). Các chuyên gia của ESET cho biết: “Việc khai thác lỗ hổng để có thể thực thi mã trong trình duyệt khá phức tạp và có đến hơn 1.000 dòng mã”.

Hàng loạt máy macOS là đích nhắm lây nhiễm mã độc qua lỗi backdoor tên DazzleSpy

Việc thực thi mã từ xa thành công trên WebKit qua đó kích hoạt việc thực thi mã nhị phân Mach-O trung gian và khai thác lỗ hổng leo thang đặc quyền cục bộ hiện đã được vá trong thành phần hạt nhân (CVE-2021-30869) để có thể chạy mã độc ở giai đoạn tiếp theo với tư cách là người dùng root.

Trong khi trình tự lây nhiễm được nhóm Google TAG trình bày chi tiết với đỉnh điểm là việc cài đặt một thiết bị cấy ghép có tên MACMA, mã độc được phát tán cho người dùng cập trang web D100 Radio là một cửa hậu macOS mới mà ESET có đặt biệt danh là DazzleSpy.

Các chuyên gia giải thích rằng mã độc này cung cấp cho những kẻ tấn công: “Nhiều chức năng để kiểm soát và trích xuất các file khỏi máy tính bị xâm nhập”. Ngoài ra còn có kết hợp một số tính năng khác bao gồm:

Thu thập thông tin hệ thống

Thực thi các lệnh shell tùy ý

Đánh cắp mật khẩu iCloud sử dụng một lỗ hổng CVE-2019-8526 nếu phiên bản macOS cũ hơn bản 10.14.4

Bắt đầu hoặc kết thúc một phiên chia sẻ màn hình từ xa

Tự xóa chính nó khỏi thiết bị

Một trong số những phát hiện thú vị khác về cuộc tấn công đó là sau khi mã độc lấy được ngày và giờ hiện tại của máy tính bị xâm nhập, nó sẽ chuyển đổi ngày giờ thu được sang múi giờ Châu Á / Thượng Hải (hay còn gọi là Giờ chuẩn Trung Quốc), trước khi gửi đến máy chủ điều khiển.

Các chuyên gia cho biết: “Chiến dịch này có những điểm tương đồng với chiến dịch từ năm 2020 khi mà mã độc iOS LightSpy (được mô tả bởi Trend Micro và Kaspersky) được phát tán theo cùng một cách, sử dụng phương thức chèn iframe vào các trang web dành cho công dân Hồng Kông dẫn đến việc khai thác lỗ hổng WebKit”. Tuy nhiên hiện chưa rõ rằng liệu cả hai chiến dịch được tổ chức bởi cùng một nhóm hay không.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 41
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 46
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 9
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 12
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 49
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 6
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ