Grupa Threat Analysis Google publikuje nieznany wcześniej malware na MacOS

Apple pierwotnie rozwiązał ten problem dla urządzeń z systemem macOS Big Sur w ramach aktualizacji zabezpieczeń wysłanej 1 lutego, aby potem uzupełnić ją samodzielną aktualizacją skierowaną do urządzeń z systemem macOS Catalina, jednak dopiero 23 września po doniesieniach o eksploatacji w środowisku naturalnym. 234 dni luki między dwiema poprawkami podkreśla fakt w jaki sposób niespójności w usuwaniu podatności w różnych wersjach systemu operacyjnego mogą zostać wykorzystane przez cyberprzestępców.

Ataki obserwowane przez TAG obejmowały łańcuch exploitów, które był połączone ze sobą. Błąd zdalnego wykonania kodu w WebKit, który został naprawiony w lutym 2021 r., oraz wspomniany CVE-2021-30869. Atakujący używają exploitów, aby wyrwać się z piaskownicy Safari, podnieść uprawnienia oraz pobrać i wykonać ładunek drugiego etapu o nazwie „MACMA” ze zdalnego serwera.

Wcześniej nieudokumentowane złośliwe oprogramowanie to w pełni funkcjonalny implant, który charakteryzuje się „rozległą inżynierią oprogramowania” z możliwością nagrywania dźwięku i przechwytywania naciśnięć klawiszy, „odcisków palców” urządzenia, przechwytywania ekranu, pobierania i przesyłania dowolnych plików oraz wykonywania złośliwych poleceń z terminala. Próbki backdoora przesłane do VirusTotal jeszcze kilka dni temu nie pokazywały żadnego zagrożenia. Teraz już, dzięki Google, IoC są znane i powszechne.

Strony internetowe, które zawierały złośliwy kod służący do obsługi exploitów z serwera kontrolowanego przez atakującego, działały również jako wodopój dla użytkowników iOS, choć wykorzystywały inny łańcuch exploitów dostarczany do przeglądarki ofiar. Google TAG powiedział, że był w stanie odzyskać tylko część przepływu infekcji, w którym do uzyskania wykonania kodu w Safari wykorzystano inną podatność – CVE-2019-8506.

Dodatkowe wskaźniki kompromitacji związane z tą kampanią można znaleźć tutaj.