Hàng loạt máy macOS là đích nhắm lây nhiễm mã độc qua lỗi backdoor tên DazzleSpy

www.tuoitre.vn -   15/02/2022 12:00:00 765

Một mã độc gián điệp mạng chưa từng được ghi lại trước đây nhắm vào hệ điều hành macOS của Apple đã tận dụng việc khai thác lỗ hổng trên trình duyệt web Safari, như một phần của cuộc tấn công watering hole nhắm vào các cá nhân ủng hộ dân chủ hoạt động chính trị tích cực ở Hồng Kông.

Hàng loạt máy macOS là đích nhắm lây nhiễm mã độc qua lỗi backdoor tên DazzleSpy

Công ty an ninh mạng ESET của Slovakia cho rằng vụ xâm nhập là do một tác nhân có “năng lực kỹ thuật cao”. Họ chỉ ra các điểm trùng lặp của chiến dịch với một cuộc tấn công kỹ thuật số tương tự do Nhóm phân tích mối đe dọa của Google (TAG) phát hiện vào tháng 11/2021.

Chuỗi các cuộc tấn công liên quan đến việc xâm nhập một trang web hợp pháp thuộc D100 Radio, một đài phát thanh radio trên internet ủng hộ dân chủ ở Hồng Kông nhằm phát tán các khung nội tuyến độc hại (hay còn gọi là iframe) trong khoảng thời gian từ ngày 30/9 đến ngày 4/11/2021. Ngoài ra một trang web lừa đảo có tên là “fightforhk [.] com ”cũng đã được đăng ký với mục đích đánh lừa các nhà hoạt động giải phóng.

Trong giai đoạn tiếp theo, mã độc giả mạo hoạt động như một đường dẫn để tải tệp file Mach-O bằng cách tận dụng lỗ hổng thực thi mã từ xa trong WebKit đã được Apple khắc phục vào tháng 2/2021 (CVE-2021-1789). Các chuyên gia của ESET cho biết: “Việc khai thác lỗ hổng để có thể thực thi mã trong trình duyệt khá phức tạp và có đến hơn 1.000 dòng mã”.

Hàng loạt máy macOS là đích nhắm lây nhiễm mã độc qua lỗi backdoor tên DazzleSpy

Việc thực thi mã từ xa thành công trên WebKit qua đó kích hoạt việc thực thi mã nhị phân Mach-O trung gian và khai thác lỗ hổng leo thang đặc quyền cục bộ hiện đã được vá trong thành phần hạt nhân (CVE-2021-30869) để có thể chạy mã độc ở giai đoạn tiếp theo với tư cách là người dùng root.

Trong khi trình tự lây nhiễm được nhóm Google TAG trình bày chi tiết với đỉnh điểm là việc cài đặt một thiết bị cấy ghép có tên MACMA, mã độc được phát tán cho người dùng cập trang web D100 Radio là một cửa hậu macOS mới mà ESET có đặt biệt danh là DazzleSpy.

Các chuyên gia giải thích rằng mã độc này cung cấp cho những kẻ tấn công: “Nhiều chức năng để kiểm soát và trích xuất các file khỏi máy tính bị xâm nhập”. Ngoài ra còn có kết hợp một số tính năng khác bao gồm:

Thu thập thông tin hệ thống

Thực thi các lệnh shell tùy ý

Đánh cắp mật khẩu iCloud sử dụng một lỗ hổng CVE-2019-8526 nếu phiên bản macOS cũ hơn bản 10.14.4

Bắt đầu hoặc kết thúc một phiên chia sẻ màn hình từ xa

Tự xóa chính nó khỏi thiết bị

Một trong số những phát hiện thú vị khác về cuộc tấn công đó là sau khi mã độc lấy được ngày và giờ hiện tại của máy tính bị xâm nhập, nó sẽ chuyển đổi ngày giờ thu được sang múi giờ Châu Á / Thượng Hải (hay còn gọi là Giờ chuẩn Trung Quốc), trước khi gửi đến máy chủ điều khiển.

Các chuyên gia cho biết: “Chiến dịch này có những điểm tương đồng với chiến dịch từ năm 2020 khi mà mã độc iOS LightSpy (được mô tả bởi Trend Micro và Kaspersky) được phát tán theo cùng một cách, sử dụng phương thức chèn iframe vào các trang web dành cho công dân Hồng Kông dẫn đến việc khai thác lỗ hổng WebKit”. Tuy nhiên hiện chưa rõ rằng liệu cả hai chiến dịch được tổ chức bởi cùng một nhóm hay không.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 39
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 41
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 41
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 37
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 31
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 21
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ