Infettati i macOS con backdoor 0-day tramite siti di notizie ad Hong Kong.

Aggiornamento: nov 19


I black hacker dal governo hanno utilizzato siti di notizie politiche a Hong Kong per infettare i computer macOS con una backdoor, sfruttando un insieme di due vulnerabilità, inclusa una precedentemente sconosciuta.



Gli attacchi sono iniziati almeno nell'agosto 2021. La prima nel bundle è una vulnerabilità legata all'esecuzione di codice in modalità remota in WebKit (CVE-2021-1789, risolta il 5 gennaio 2021) e la seconda è una vulnerabilità legata all'escalation dei privilegi locali nel componente del kernel XNU (CVE-2021-30869 , risolta il 23 settembre 2021).


Con il loro aiuto, gli aggressori hanno ottenuto i privilegi di superutente dei macOS attaccati e hanno scaricato e poi installato il malware MACMA o OSX.CDDS su di esso.



Questo malware mai visto prima, ha funzionalità sia backdoor che spyware e ti consente di:

  • Creare un'impronta digitale del dispositivo per identificarlo in futuro;

  • Cattura screenshot;

  • Registra le sequenze di tasti sulla tastiera;

  • Registra audio;

  • caricare e scaricare file;

  • Eseguire comandi da terminale.

Gli attacchi che utilizzano il suddetto pacchetto di vulnerabilità sono stati scoperti dal Google Threat Analysis Group (TAG), che ha segnalato una vulnerabilità 0-day ad Apple in modo che potesse risolverla.



L'exploit per la vulnerabilità zero-day è di dominio pubblico dall'aprile 2021, quando è stato presentato dai ricercatori del Pangu Lab alla conferenza zer0con21. È stato anche presentato alla Mobile Security Conference (MOSEC) di luglio.


Non è noto se gli esperti di Pangu Lab abbiano segnalato la vulnerabilità ad Apple e la società semplicemente non abbia rilasciato una correzione per molto tempo.



I ricercatori di Google TAG hanno descritto gli hacker dietro gli attacchi come

"un gruppo ben finanziato, che probabilmente lavora per il governo e, a giudicare dalla qualità del codice, con accesso al propri team di ingegneri del software".

Gli esperti non hanno attribuito gli attacchi a nessuno stato in particolare o a noti gruppi di criminali informatici.