Infettati i macOS con backdoor 0-day tramite siti di notizie ad Hong Kong.

I black hacker dal governo hanno utilizzato siti di notizie politiche a Hong Kong per infettare i computer macOS con una backdoor, sfruttando un insieme di due vulnerabilità, inclusa una precedentemente sconosciuta.

Gli attacchi sono iniziati almeno nell’agosto 2021. La prima nel bundle è una vulnerabilità legata all’esecuzione di codice in modalità remota in WebKit (CVE-2021-1789, risolta il 5 gennaio 2021) e la seconda è una vulnerabilità legata all’escalation dei privilegi locali nel componente del kernel XNU (CVE-2021-30869 , risolta il 23 settembre 2021).

Con il loro aiuto, gli aggressori hanno ottenuto i privilegi di superutente dei macOS attaccati e hanno scaricato e poi installato il malware MACMA o OSX.CDDS su di esso.

Questo malware mai visto prima, ha funzionalità sia backdoor che spyware e ti consente di:

• Creare un’impronta digitale del dispositivo per identificarlo in futuro;
• Cattura screenshot;
• Registra le sequenze di tasti sulla tastiera;
• Registra audio;
• caricare e scaricare file;
• Eseguire comandi da terminale.

Gli attacchi che utilizzano il suddetto pacchetto di vulnerabilità sono stati scoperti dal Google Threat Analysis Group (TAG), che ha segnalato una vulnerabilità 0-day ad Apple in modo che potesse risolverla.

L’exploit per la vulnerabilità zero-day è di dominio pubblico dall’aprile 2021, quando è stato presentato dai ricercatori del Pangu Lab alla conferenza zer0con21. È stato anche presentato alla Mobile Security Conference (MOSEC) di luglio.

Non è noto se gli esperti di Pangu Lab abbiano segnalato la vulnerabilità ad Apple e la società semplicemente non abbia rilasciato una correzione per molto tempo.

I ricercatori di Google TAG hanno descritto gli hacker dietro gli attacchi come

“un gruppo ben finanziato, che probabilmente lavora per il governo e, a giudicare dalla qualità del codice, con accesso al propri team di ingegneri del software”.

Gli esperti non hanno attribuito gli attacchi a nessuno stato in particolare o a noti gruppi di criminali informatici.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.