Este nuevo malware está atacando a usuarios de MacOS

Investigadores de Google TAG han descubierto una nueva familia de malware de espionaje cibernético dirigido a macOS. El malware está siendo enviado a través de un exploit de Safari y se usó contra residentes políticamente activos y prodemocráticos de Hong Kong, en agosto. Los investigadores descubrieron el malware en ataques de abrevadero (watering hole). 

Los ataques de abrevadero, que TAG informó a Apple ese mismo mes, estaban desplegando un malware en estado salvaje. Este explotaba lo que entonces era una vulnerabilidad de día cero para instalar una puerta trasera en los dispositivos iOS y macOS de los usuarios que visitaron sitios de medios de comunicación y pro-democracia de Hong Kong.

TAG reportó en noviembre una vulnerabilidad de escalada de privilegios XNU de día cero (CVE-2021-30869). Esta vulnerabilidad condujo a la instalación de una puerta trasera no reportada anteriormente en los sistemas macOS e iOS de las víctimas.

DazzleSpy

En un informe publicado recientemente, los investigadores de ESET, que habían estado investigando la campaña antes de la publicación de noviembre de TAG, revelaron nuevos detalles sobre la puerta trasera. Los investigadores también revelaron los objetivos de la campaña y el malware utilizado. Es decir, revelaron un exploit de WebKit utilizado para comprometer a los usuarios de Mac,  y cómo las víctimas cayeron en la trampa para iniciar.

La nueva pieza del rompecabezas que ESET describió en la publicación del martes es DazzleSpy. DazzleSpy es una nueva puerta trasera funcional creada por operadores desconocidos, pero técnicamente hábiles.

La lista de comandos que acepta DazzleSpy es larga. El malware puede buscar archivos específicos para exfiltrar, enumerar archivos en las carpetas Escritorio, Descargas y Documentos. Asimismo, puede ejecutar comandos de shell; enumerar los procesos en ejecución; robar, renombrar o mover archivos; registrar eventos del mouse. Pero eso no es todo, también permite observar, iniciar o finalizar sesiones remotas; y realizar las tareas necesarias para explotar la vulnerabilidad CVE-2019-8526.

Los investigadores también encontraron que DazzleSpy aplica el cifrado de extremo a extremo. Además, la puerta trasera se abstiene de comunicarse con su servidor de comando y control (C2) si alguien intenta espiar. Esta inserta un proxy de inspección TLS entre el sistema comprometido y el servidor C2.

Ataques de abrevadero hacia a los activistas de Hong Kong

La primera etapa de la cadena de ataque fue comprometer dos sitios para propagar los exploits, explicó ESET:

1. Un sitio web falso dirigido a activistas de Hong Kong, según lo informado por Felix Aimé de SEKOIA.IO, con el dominio, fightforhk[.]com. Este fue registrado recién el 19 de octubre y desde entonces desactivado. El dominio fue manipulado con un iframe malicioso, como se muestra a continuación.
2. El sitio legítimo de la radio en línea D100 a favor de la democracia de Hong Kong fue descubierto enviando el mismo exploit en agosto. Similar a fightforhk[.com], el sitio comprometido de la estación de radio (que se muestra a continuación) inyectó de manera similar un iframe en las páginas servidas por bc.d100[.]net. Esas páginas eran de la sección del sitio web utilizada por los suscriptores y fueron comprometidas  entre el 30 de septiembre y el 4 de noviembre.

Después, el código manipulado cargó un archivo ejecutable Mach-O en la memoria. Este aprovechó un error de ejecución remota de código (RCE) en WebKit que Apple solucionó en febrero de 2021 ( CVE-2021-1789 ).

“El exploit utilizado para obtener la ejecución del código en el navegador es bastante complejo. El exploit tenía más de 1000 líneas de código una vez formateadas correctamente”, señalaron los investigadores de ESET.

De la escalada de privilegios a root

Después de que el exploit obtiene la ejecución del código, carga Mach-O en la memoria y lo ejecuta. El exploit aprovecha una vulnerabilidad local de escalada de privilegios descrita anteriormente y rastreada como CVE-2021-30869 para ejecutar la siguiente etapa como root. Luego, llama a la función “adjust_port_type”, que cambia el tipo interno de un puerto Mach, un cambio que “no debería ser posible a menos que exista una vulnerabilidad”. 

Un resumen de lo que hace Mach-O:

1. Descarga un archivo de la URL proporcionada como argumento
2. Descifra este archivo usando AES-128-EBC y TEA 
3. Escribe el archivo resultante en $TMPDIR/airportpaird y lo convierte en ejecutable
4. Utiliza el exploit de escalada de privilegios para eliminar el atributo com.apple.quarantine del archivo para evitar pedirle al usuario que confirme el lanzamiento del ejecutable sin firmar.
5. Utiliza la misma escalada de privilegios para iniciar la siguiente etapa con privilegios de root

En su artículo de noviembre, Google TAG describió la cadena de infección como un payload llamado MACMA. MACMA tomó el fingerprinting de los dispositivos de las víctimas, tomó capturas de pantalla y cargó y descargó archivos. Además, ejecutó comandos de terminal y realizó espionaje a través de grabación de audio y keylogging.

Pero a los visitantes del sitio de D100 Radio se les infligió una puerta trasera de macOS diferente que ESET denominó en código DazzleSpy. Esta es una poderosa herramienta capaz de robar una vertiginosa variedad de datos de las víctimas y llevar a cabo vulnerabilidades complejas.

¿Quién está detrás de la puerta trasera de DazzleSpy?

Dada la complejidad de los exploits de la campaña, ESET dice que los operadores tienen “capacidades técnicas sólidas”. Los atacantes no han dejado muchas huellas. Los investigadores de ESET dijeron que aún no han podido encontrar un análisis previo sobre una vulnerabilidad de escalada de privilegios locales (LPE) utilizada por el exploit, por ejemplo. Tampoco encontraron nada sobre la vulnerabilidad específica de WebKit utilizada para obtener la ejecución del código en Safari.

ESET notó que la campaña, con su objetivo de personas políticamente activas y a favor de la democracia de Hong Kong, se parece a una de 2020. En ese momento el malware LightSpy para iOS (descrito por TrendMicro y Kaspersky ) se distribuyó de la misma manera. Es decir, fue distribuido mediante la inyección de iframe en sitios web para ciudadanos de Hong Kong, lo que llevó a un exploit de WebKit.

El malware utilizado en los ataques de abrevadero de 2020 fue el trabajo de una nueva amenaza persistente avanzada (APT) llamada TwoSail Junk. El malware fue diseñado de manera similar para su uso en un ataque dirigido a masas destinado a la vigilancia profunda y para tomar el control total de dispositivos iOS.

ESET encontró algunas pistas sobre los operadores de DazzleSpy: notaron que el malware contiene varios mensajes internos en chino, por ejemplo. Además, “una vez que el malware obtiene la fecha y hora actual en una computadora comprometida… convierte la fecha obtenida a la zona horaria de Asia/Shanghai (también conocida como hora estándar de China), antes de enviarla al servidor C2”. 

Aparentemente, los operadores tampoco están tan preocupados por la seguridad operativa. Ellos han dejado el nombre de usuario ‘wangping’ en las rutas incrustadas en el binario e incluso en las rutas que revelan este nombre de usuario y los nombres de los módulos internos.

Queda por ver si los ataques de Hong Kong de 2020 y los detectados en agosto provienen de la misma APT. Los investigadores dijeron que seguirán rastreando e informando sobre actividades maliciosas similares.