A novembre dello scorso anno, il Threat Analysis Group (TAG) di Google aveva segnalato il fatto che un gruppo di hacker avesse sfruttato DazzleSpy, un malware destinato al mondo Mac, per prendere di mira gli attivisti democratici di Hong Kong, in principio tramite un falso sito Web pro-democrazia e successivamente attraverso un portale reale.
Hong Kong: attacco via Mac agli attivisti pro-democrazia, tutti i dettagli
Sino a questo momento, però, non erano stati ancora forniti i dettagli dell'attacco, cosa che invece si sono preoccuparti di fare i ricercatori di sicurezza di ESET proprio nel corso delle ultime ore.
I ricercatori hanno scoperto che gli hacker usavano un exploit WebKit particolarmente complesso, con più di 1.000 righe di codice, che riassumendo necessitava della seguente operazione.
- Scaricare un file dall’URL fornito come esca;
- Decrittografare questo file utilizzando AES-128-EBC e TEA con un delta personalizzato;
- Scrivere il file risultante in $TMPDIR/airportpaird e renderlo eseguibile;
- Utilizzare l’exploit di escalation dei privilegi per rimuovere l’attributo "com.apple.quarantine" dal file per evitare di chiedere all’utente di confermare l’avvio dell’eseguibile non firmato;
- Usare la stessa escalation dei privilegi per avviare la fase successiva con i privilegi di root per conferire al malware i privilegi di amministratore senza l’interazione dell’utente.
Il malware, inoltre, si è rivelato estremamente potente, permettendo ai malintenzionati che se ne sono serviti di accedere a molteplici comandi, quelli riportati di seguito.
searchFile
cerca il file specificato nel computer compromessoscanFiles
accede ai file nelle cartelle Desktop, Download e Documenticmd
esegue il comando shell fornitorestartCMD
riavvia la sessione della shellprocessInfo
accede ai processi in esecuzionekeychain
scarica il portachiavi utilizzando un exploit CVE-2019-8526 se la versione di macOS è inferiore alla 10.14.4. Viene utilizzata l’implementazione KeySteal del portachiavi pubblicodownloadFileInfo
accede alla cartella fornita o fornisce un timestamp di creazione e modifica hash SHA-1 per il nome file fornitodownloadFile
esegue un file dal percorso fornitofile
fornisce informazioni, rinomina, rimuove, sposta o esegue un file nel percorso fornitoRDP
avvia o termina una sessione dello schermo remotoacceptFileInfo
prepara per il trasferimento dei fileacceptFile
scrive il file fornito su disco
Da notare che tutte le vulnerabilità sfruttate sono state corrette da Apple con gli ultimi aggiornamenti software, per cui attualmente non vi è nulla da temere.