Menu dostępności

DazzleSpy nowy malware na macOS

Niedawno zaobserwowano i opisano cyber-kampanię skierowaną na cele w Hongkongu. Wykorzystała ona co najmniej dwa rodzaje złośliwego oprogramowania przeznaczonego do atakowania systemów macOS. Na tym przykładzie widzimy, że urządzenia od Apple, kiedyś uważana za najbezpieczniejsze, stają się coraz częściej celem hackerów.

Informacja o kampanii dotarła do publicznej wiadomości w listopadzie 2021 r. Wtedy to Google udostępnił szczegółowe informacje o ataku, w którym złośliwe oprogramowanie dla systemu macOS zostało dostarczone użytkownikom w Hongkongu za pośrednictwem zhackowanych „prodemokratycznych” witryn, które służyły jako wektor ataku.

Według Google, atak wykryty pod koniec sierpnia został prawdopodobnie przeprowadzony przez dobrze wyposażoną, finansowaną przez państwo grupę.

Osoby atakujące wykorzystały zarówno exploity iOS, jak i macOS. Exploit macOS zawierał lukę w zabezpieczeniach WebKit, która została załatana przez Apple w styczniu 2021 r. (CVE-2021-1789) oraz lukę w eskalacji uprawnień, którą Apple załatał we wrześniu, mniej więcej miesiąc po tym, jak analitycy bezpieczeństwa Google wykryli atak.

Google powiedział w tym czasie, że jednym z ładunków dostarczonych przez atakujących było złośliwe oprogramowanie o nazwach MACMA i CDDS, które mogło przechwytywać naciśnięcia klawiszy, robić zrzuty ekranu, przesyłać i pobierać pliki, wykonywać polecenia terminala i nagrywać dźwięk.

ESET również monitorował tą kampanię i odkrył, że zhackowana witryna stacji radiowej w Hongkongu zawierała inny szkodliwy program, który firma zajmująca się cyberbezpieczeństwem nazwała DazzleSpy.

To złośliwe oprogramowanie może zbierać informacje o zaatakowanym systemie, enumerować pliki w określonych folderach, wyszukiwać konkretne pliki, wykonywać polecenia powłoki, wyliczać procesy, zrzucać pęk kluczy przy użyciu starej luki, eksfiltrować pliki, zapisywać pliki na dysku i uruchamiać zdalną sesje ekranową. Ponadto jego twórcy najwyraźniej pracują nad rozszerzeniem funkcjonalności.

Inny godny uwagi aspekt jest związany z komunikacją C&C. To złośliwe oprogramowanie dla systemu macOS wymusza szyfrowanie typu end-to-end i nie będzie komunikować się ze swoim serwerem C&C, jeśli ktoś spróbuje podsłuchiwać, wstawiając serwer TLS proxy między serwerem C&C a zaatakowanym systemem.

Niektóre ciągi znaków znalezione w kodzie DazzleSpy sugerują, że nazwa wewnętrzna przypisana przez jego twórców może brzmieć „osxrk”.

„Wygląda na to, że autorzy DazzleSpy nie byli tak zaniepokojeni bezpieczeństwem operacyjnym, ponieważ pozostawili nazwę użytkownika w ścieżkach osadzonych w pliku binarnym” – powiedział ESET.

Chociaż operacji nie przypisano żadnemu znanemu podmiotowi, wiadomo, że Chiny przeprowadzają tego typu ataki na użytkowników w Hongkongu.

ESET zauważył, że złośliwe oprogramowanie zawiera wiadomości wewnętrzne napisane w języku chińskim i konwertuje datę uzyskaną z zaatakowanego urządzenia na czas chiński standardowy.
Zwrócił również uwagę, że istnieją pewne podobieństwa do kampanii z 2020 r., która obejmowała złośliwe oprogramowanie iOS o nazwie LightSpy, ale specjaliści nie byli w stanie potwierdzić, że obie kampanie zostały uruchomione przez tę samą grupę.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...