Google segnala falla zero-day su macOS (già corretta) che registra tastiera e schermo

Another ICT Guy

Google segnala falla zero-day su macOS (già corretta) che registra tastiera e schermo

La divisione Threat Analysis Group di Google ha rivelato l’esistenza di una vulnerabilità zero-day che interessa alcune versioni di macOS e che è stata sfruttata per effettuare operazioni di spionaggio e compromissione ai danni dei visitatori di alcuni siti web di Hong Kong.

La falla, nota come CVE-2021-30869, è stata corretta da Apple all’intero di un aggiornamento per macOS Catalina distribuito nel corso del mese di settembre, a circa un mese di distanza da quando i ricercatori TAG hanno scoperto che essa veniva attivamente sfruttata.

Google ha descritto l’accaduto come un tipico attacco “watering hole”, dove gli aggressori selezionano i siti web da compromettere sulla base del profilo dei loro visitatori tipici. L’attacco ha preso di mira in particolare utenti Mac e utenti iPhone.

Erye Hernandez del TAG di Google spiega: “I siti web sfruttati per gli attacchi contenevano due iframe che erogavano exploit da un server controllato dall’attaccante, uno per iOS e l’altro per macOS”. L’exploit prendeva di mira una vulnerabilità di sorpasso dei privilegi XNU che ha portato all’installazione di una backdoor.

Gli attaccanti hanno usato un’altra vulnerabilità di XNU precedentemente nota, catalogata come CVE-2020-27932, per riuscire ad ottenere l’accesso root sul sistema Mac preso di mira. Una volta ottenuto l’accesso di root, gli attaccanti hanno scaricato un payload che veniva eseguito di nascosto in background sui sistemi compromessi.

“Riteniamo che questo attore di minaccia sia un gruppo ben dotato di risorse, probabilmente supportato da uno stato, con accesso ad un team di ingegneri del software a giudicare dalla qualità del codice del payload. Utilizza un modello publish-subscribe tramite un framework Data Distribution Service per comunicare con il serve command&control. E’ dotato di diversi componenti, alcuni dei quali sembrano essere configurati come moduli” ha sottolineato Hernandez.

La backdoor è risultata caratterizzata dai normali elementi del malware creato allo scopo di spiare un bersaglio, con capacità di acquisizione dello schermo, caricare e scaricare file, eseguire comandi dal terminale e sospettate capacità di registrare audio e tracciare la sequenza dei tasti premuti sulla tastiera.

Il TAG di Google non ha esplicitato quali siano stati i siti web presi di mira, osservando in maniera generica che includevano “un organo di stampa e un importante gruppo politico pro-democrazia”.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *