• Takzvaný „watering hole“ útok skompromitoval webovú stránku prodemokratickej rádiovej stanice v Hongkongu
  • Útočníci zneužili zraniteľnosť prehliadača Safari, aby návštevníkom stránky s počítačmi Mac nainštalovali malvér DazzleSpy.
  • Škodlivý kód je schopný širokej škály špionážnych aktivít.
  • Útočníci pravdepodobne cielili na politicky aktívnych a prodemokraticky naladených obyvateľov Hongkongu.
  •  Zraniteľnosť mohla byť zneužitá aj na operačnom systéme iOS, dokonca na zariadeniach ako iPhone XS a novších. Tento útok vykazuje podobnosti s kampaňou v roku 2020, pri ktorej bol iOS malvér LightSpy šírený takým istým spôsobom.  
  • Výskumníci spoločnosti ESET predpokladajú, že skupina zodpovedná za útoky disponuje silnými technickými zručnosťami.
  • Malvér používa čínsky čas a obsahuje viacero interných odkazov v čínskom jazyku.

Výskumníci spoločnosti ESET odhalili, že spravodajská webová stránka prodemokratického hongkongského rádia D100 bola nedávno skompromitovaná exploitom zneužívajúcim zraniteľnosť prehliadača Safari, aby návštevníkom s počítačmi Mac nainštalovala špionážny malvér. Kybernetickí zločinci pritom použili takzvaný „watering hole“ útok, pričom pravdepodobne cielili na politicky aktívnych a prodemokraticky naladených obyvateľov Hongkongu. ESET pomenoval nový macOS malvér rozšírený medzi návštevníkov stránky ako DazzleSpy. Tento škodlivý kód dokáže zbierať širokú škálu citlivých a osobných údajov.

„Watering hole“ útoky kompromitujú webové stránky, ktoré pravdepodobne navštívia objekty záujmu kybernetických útočníkov, čím sa otvoria dvere k infikovaniu ich zaradení. Názov aj podstata útoku je odvodená od lovu. Namiesto toho aby lovec prenasledoval svoju korisť, počká ju na mieste, kde pravdepodobne príde sama. Zvyčajne je to vodný zdroj alebo napájadlo (z angličtiny watering hole), ku ktorému obeť skôr či neskôr príde a útočník následne zaútočí. 

Prvé správy o watering hole útokoch zneužívajúcich webový prehliadač Safari na počítačoch s operačným systémom macOS priniesla spoločnosť Google ešte v novembri minulého roka. Experti spoločnosti ESET skúmali tieto útoky v tom istom čase ako Google, pričom odhalili ďalšie podrobnosti o cieľoch útokov aj o malvéri použitom na skompromitovanie obetí. ESET potvrdil, že záplata, ktorú identifikoval Google, odstráni zraniteľnosť prehliadača Safari zneužitú pri útokoch.

„Exploit použitý v prehliadači je pomerne komplexný a obsahuje viac ako 1 000 zdrojových riadkov kódu. Určite je zaujímavé spomenúť, že časti kódu naznačujú možné zneužitie zraniteľnosti aj na operačnom systéme iOS, dokonca aj na zariadeniach ako iPhone XS a novších,“ vysvetľuje Marc-Étienne Léveillé, výskumník spoločnosti ESET.

Táto kampaň vykazuje podobnosti s operáciou v roku 2020, pri ktorej bol iOS malvér LightSpy šírený takým istým spôsobom. Iframe vložený do stránok určených pre občanov Hongkongu vtedy naviedol návštevníkov k Webkit zraniteľnosti.

Škodlivý kód DazzleSpy je schopný širokej škály špionážnych aktivít. Dokáže zbierať informácie o skompromitovanom počítači, vyhľadávať špecifické súbory, prehľadať plochu, stiahnuté súbory a priečinky dokumentov, spúšťať príkazové riadky, spustiť a ukončiť vzdialený prístup k obrazovke a zapísať dodaný súbor na disk.

Vzhľadom na komplexnosť exploitov použitých v tejto kampani, výskumníci spoločnosti ESET usudzujú, že skupina zodpovedná za útoky disponuje silnými technickými zručnosťami. Taktiež je zaujímavé, že v škodlivom kóde DazzleSpy je vynútené end-to-end šifrovanie. Ak by sa aj niekto pokúsil o zachytenie nešifrovaného prenosu, malvér so svojím riadiacim serverom nebude komunikovať.

Ďalším zaujímavým zistením je, že akonáhle malvér získa na skompromitovanom počítači aktuálny dátum a čas, ešte pred ich odoslaním riadiacemu serveru zmení tieto údaje podľa časového pásma Čínskeho štandardného času. DazzleSpy navyše obsahuje viacero interných odkazov v čínskom jazyku.

Viac technických informácií sa dočítate v špeciálnom blogu na našej stránke WeLiveSecurity.

Značky: