27 mar. 2020

Ataque a iPhone aprovecha vulnerabilidades en Kernel y Safari

TrendMicro ha descubierto un interesante ataque a usuarios de iPhone. Este ataque del tipo "watering hole" ha estado apuntando a usuarios de iOS en Hong Kong. La campaña utiliza enlaces publicados en múltiples foros que supuestamente conducen a varias noticias. Si bien estos enlaces llevan a los usuarios a los sitios de noticias reales, también usan un iframe oculto para cargar y ejecutar código malicioso. Algunas de las noticias hacían referencia a COVID-19.
El código malicioso contiene vulnerabilidades que atacan vulnerabilidades presentes en iOS 12.1 y 12.2. Los usuarios que hagan clic en estos enlaces con dispositivos en riesgo descargarán una nueva variante de malware de iOS, que TrendMicro ha denominado lightSpy. A través de un fallo en Safari y un grave problema de ejecución de código en en Kernel (CVE-2019-8605), consiguen ejecutar código e instalar una app en los iOS 12.1 y 12.2.

La variante de malware es una puerta trasera modular que permite al atacante ejecutar comandos y shell de forma y manipular archivos en el dispositivo afectado. Esto permitiría a un atacante espiar el dispositivo de un usuario, así como tomar el control total del mismo. Contiene diferentes módulos para extraer datos del dispositivo infectado, que incluye:
  • Historial de WiFi conectado
  • Contactos
  • Ubicación GPS
  • Información de hardware
  • Llavero iOS (keychain)
  • Historial de llamadas telefónicas
  • Historial del navegador Chrome y Safari
  • Mensajes SMS
  • Red WiFi disponible
  • Direcciones IP de red local
Las aplicaciones de Messenger también están específicamente destinadas a la exfiltración de datos. Entre las aplicaciones específicamente dirigidas están:
  • Telegram
  • QQ
  • WeChat
La investigación también descubrió una campaña similar dirigida a dispositivos Android en 2019. Se encontraron enlaces a archivos .APK maliciosos en varios canales públicos de Telegram relacionados con Hong Kong. Estos mensajes afirmaban que eran para varias aplicaciones legítimas, pero condujeron a aplicaciones maliciosas que podrían filtrar información del dispositivo, contactos y mensajes SMS. Esta familia de malware de Android es identificada como dmsSpy.

El diseño y la funcionalidad de la operación sugieren que la campaña no estaba destinada a cierto tipo de víctimas, sino que tiene como objetivo comprometer la mayor cantidad de dispositivos móviles posibles para la vigilancia y la puerta trasera del dispositivo. Llamaron a la campaña Operation Poisoned News en función de sus métodos de distribución.

Este documento de TrendMicro [PDF] proporciona una descripción técnica de las capacidades de lightSpy y dmsSpy, así como sus métodos de distribución. 

Fuente: TrendMicro

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!