Ataque a iPhone aprovecha vulnerabilidades en Kernel y Safari
TrendMicro ha descubierto un interesante ataque a usuarios de iPhone. Este ataque del tipo "watering hole" ha estado apuntando a usuarios de iOS en Hong Kong. La campaña utiliza enlaces publicados en múltiples foros que supuestamente conducen a varias noticias. Si bien estos enlaces llevan a los usuarios a los sitios de noticias reales, también usan un iframe oculto para cargar y ejecutar código malicioso. Algunas de las noticias hacían referencia a COVID-19.
El código malicioso contiene vulnerabilidades que atacan vulnerabilidades presentes en iOS 12.1 y 12.2. Los usuarios que hagan clic en estos enlaces con dispositivos en riesgo descargarán una nueva variante de malware de iOS, que TrendMicro ha denominado lightSpy. A través de un fallo en Safari y un grave problema de ejecución de código en en Kernel (CVE-2019-8605), consiguen ejecutar código e instalar una app en los iOS 12.1 y 12.2.
La variante de malware es una puerta trasera modular que permite al atacante ejecutar comandos y shell de forma y manipular archivos en el dispositivo afectado. Esto permitiría a un atacante espiar el dispositivo de un usuario, así como tomar el control total del mismo. Contiene diferentes módulos para extraer datos del dispositivo infectado, que incluye:
El diseño y la funcionalidad de la operación sugieren que la campaña no estaba destinada a cierto tipo de víctimas, sino que tiene como objetivo comprometer la mayor cantidad de dispositivos móviles posibles para la vigilancia y la puerta trasera del dispositivo. Llamaron a la campaña Operation Poisoned News en función de sus métodos de distribución.
Este documento de TrendMicro [PDF] proporciona una descripción técnica de las capacidades de lightSpy y dmsSpy, así como sus métodos de distribución.
Fuente: TrendMicro
El código malicioso contiene vulnerabilidades que atacan vulnerabilidades presentes en iOS 12.1 y 12.2. Los usuarios que hagan clic en estos enlaces con dispositivos en riesgo descargarán una nueva variante de malware de iOS, que TrendMicro ha denominado lightSpy. A través de un fallo en Safari y un grave problema de ejecución de código en en Kernel (CVE-2019-8605), consiguen ejecutar código e instalar una app en los iOS 12.1 y 12.2.
La variante de malware es una puerta trasera modular que permite al atacante ejecutar comandos y shell de forma y manipular archivos en el dispositivo afectado. Esto permitiría a un atacante espiar el dispositivo de un usuario, así como tomar el control total del mismo. Contiene diferentes módulos para extraer datos del dispositivo infectado, que incluye:
- Historial de WiFi conectado
- Contactos
- Ubicación GPS
- Información de hardware
- Llavero iOS (keychain)
- Historial de llamadas telefónicas
- Historial del navegador Chrome y Safari
- Mensajes SMS
- Red WiFi disponible
- Direcciones IP de red local
- Telegram
El diseño y la funcionalidad de la operación sugieren que la campaña no estaba destinada a cierto tipo de víctimas, sino que tiene como objetivo comprometer la mayor cantidad de dispositivos móviles posibles para la vigilancia y la puerta trasera del dispositivo. Llamaron a la campaña Operation Poisoned News en función de sus métodos de distribución.
Este documento de TrendMicro [PDF] proporciona una descripción técnica de las capacidades de lightSpy y dmsSpy, así como sus métodos de distribución.
Fuente: TrendMicro
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!