DazzleSpy, ecco i dettagli del malware Mac contro gli attivisti

A novembre dello scorso anno, il Threat Analysis Group (TAG) di Google aveva segnalato il fatto che un gruppo di hacker avesse sfruttato DazzleSpy, un malware destinato al mondo Mac, per prendere di mira gli attivisti democratici di Hong Kong, in principio tramite un falso sito Web pro-democrazia e successivamente attraverso un portale reale.

Hong Kong: attacco via Mac agli attivisti pro-democrazia, tutti i dettagli

Sino a questo momento, però, non erano stati ancora forniti i dettagli dell'attacco, cosa che invece si sono preoccuparti di fare i ricercatori di sicurezza di ESET proprio nel corso delle ultime ore.

I ricercatori hanno scoperto che gli hacker usavano un exploit WebKit particolarmente complesso, con più di 1.000 righe di codice, che riassumendo necessitava della seguente operazione.

• Scaricare un file dall’URL fornito come esca;
• Decrittografare questo file utilizzando AES-128-EBC e TEA con un delta personalizzato;
• Scrivere il file risultante in $TMPDIR/airportpaird e renderlo eseguibile;
• Utilizzare l’exploit di escalation dei privilegi per rimuovere l’attributo "com.apple.quarantine" dal file per evitare di chiedere all’utente di confermare l’avvio dell’eseguibile non firmato;
• Usare la stessa escalation dei privilegi per avviare la fase successiva con i privilegi di root per conferire al malware i privilegi di amministratore senza l’interazione dell’utente.

Il malware, inoltre, si è rivelato estremamente potente, permettendo ai malintenzionati che se ne sono serviti di accedere a molteplici comandi, quelli riportati di seguito.

• searchFile cerca il file specificato nel computer compromesso
• scanFiles accede ai file nelle cartelle Desktop, Download e Documenti
• cmd esegue il comando shell fornito
• restartCMD riavvia la sessione della shell
• processInfo accede ai processi in esecuzione
• keychain scarica il portachiavi utilizzando un exploit CVE-2019-8526 se la versione di macOS è inferiore alla 10.14.4. Viene utilizzata l’implementazione KeySteal del portachiavi pubblico
• downloadFileInfo accede alla cartella fornita o fornisce un timestamp di creazione e modifica hash SHA-1 per il nome file fornito
• downloadFile esegue un file dal percorso fornito
• file fornisce informazioni, rinomina, rimuove, sposta o esegue un file nel percorso fornito
• RDP avvia o termina una sessione dello schermo remoto
• acceptFileInfo prepara per il trasferimento dei file
• acceptFile scrive il file fornito su disco

Da notare che tutte le vulnerabilità sfruttate sono state corrette da Apple con gli ultimi aggiornamenti software, per cui attualmente non vi è nulla da temere.