Svelati i dettagli del malware DazzleSpy su macOS

Ecco tutti i potenziali pericoli del malware DazzleSpy per dispositivi macOS.

Alcunin ricercatori di sicurezza hanno rilasciato i dettagli di DazzleSpy, il malware per Mac che ha consentito la registrazione delle chiavi di accesso, l’acquisizione di schermate, l’accesso al microfono e altro ancora.

macos_malware

DazzleSpy è stato utilizzato per prendere di mira gli attivisti democratici di Hong Kong, inizialmente tramite un falso sito web pro-democrazia, e successivamente attraverso un portale reale. Il Threat Analysis Group (TAG) di Google aveva segnalato per la prima volta l’attacco nel novembre dello scorso anno, ma i dettagli su questo malware sono emersi solo nelle ultime ore.

I ricercatori di ESET hanno scoperto che gli hacker utilizzavano un exploit WebKit. L’exploit è complesso – con più di 1.000 righe di codice – ma riassumendo necessitava di queste operazione:

  • Scaricewa un file dall’URL fornito come esca
  • Decrittografare questo file utilizzando AES-128-EBC e TEA con un delta personalizzato
  • Scrivere il file risultante in $TMPDIR/airportpaird e renderlo eseguibile
  • Utilizzare l’exploit di escalation dei privilegi per rimuovere l’attributo com.apple.quarantine dal file per evitare di chiedere all’utente di confermare l’avvio dell’eseguibile non firmato
  • Usare la stessa escalation dei privilegi per avviare la fase successiva con i privilegi di root
  • Questo conferisce al malware i privilegi di amministratore senza l’interazione dell’utente.

Il malware è estremamente potente, consentendo all’attaccante di accedere a più comandi:

  • searchFile cerca il file specificato nel computer compromesso
  • scanFiles accede ai file nelle cartelle Desktop, Download e Documenti
  • cmd esegue il comando shell fornito
  • restartCMD riavvia la sessione della shell
  • processInfo accede ai processi in esecuzione
  • keychain scarica il portachiavi utilizzando un exploit CVE-2019-8526 se la versione di macOS è inferiore alla 10.14.4. Viene utilizzata l’implementazione KeySteal del portachiavi pubblico
  • downloadFileInfo accede alla cartella fornita o fornisce un timestamp di creazione e modifica hash SHA-1 per il nome file fornito
  • downloadFile esegue un file dal percorso fornito
  • file fornisce informazioni, rinomina, rimuove, sposta o esegue un file nel percorso fornito
  • RDP avvia o termina una sessione dello schermo remoto
  • acceptFileInfo prepara per il trasferimento dei file
  • acceptFile scrive il file fornito su disco.

Apple ha corretto le vulnerabilità utilizzate con gli ultimi aggiornamenti software.

Offerte Amazon di oggi
Sicurezza