Certains chercheurs en sécurité ont publié des détails sur DazzleSpy, le malware Mac qui a permis l’enregistrement des clés d’accès, la capture d’écran, l’accès au microphone et plus encore.

DazzleSpy

DazzleSpy a été utilisé pour cibler les militants démocrates de Hong Kong, initialement via un faux site Web pro-démocratie, puis via un véritable portail. Le groupe d’analyse des menaces (TAG) de Google a signalé l’attaque pour la première fois en novembre de l’année dernière, mais les détails sur ce logiciel malveillant n’ont fait surface qu’au cours des dernières heures.

Les chercheurs d’ESET ont découvert que les pirates utilisaient un exploit WebKit. L’exploit est complexe – avec plus de 1000 lignes de code – mais en résumé il a nécessité ces opérations :

  • Télécharger un fichier à partir de l’URL fournie comme leurre
  • Décryptez ce fichier en utilisant AES-128-EBC et TEA avec un delta personnalisé
  • Écrivez le fichier résultant dans $TMPDIR/airportpaird et rendez-le exécutable
  • Utilisez l’exploit d’escalade de privilèges pour supprimer l’attribut com.apple.quarantine du fichier afin d’éviter de demander à l’utilisateur de confirmer le lancement de l’exécutable non signé
  • Utilisez la même élévation de privilèges pour démarrer l’étape suivante avec les privilèges root
  • Cela donne des privilèges d’administrateur de logiciels malveillants sans interaction de l’utilisateur.

Le malware est extrêmement puissant, permettant à l’attaquant d’accéder à plusieurs commandes :

  • searchFile recherche le fichier spécifié sur l’ordinateur compromis
  • scanFiles accède aux fichiers des dossiers Bureau, Téléchargements et Documents
  • cmd exécute la commande shell fournie
  • restartCMD redémarre la session shell
  • processInfo accède aux processus en cours d’exécution
  • keychain télécharge le trousseau à l’aide d’un exploit CVE-2019-8526 si la version de macOS est inférieure à 10.14.4. L’implémentation KeySteal du trousseau de clés publiques est utilisée
  • downloadFileInfo accède au dossier fourni ou fournit un horodatage de création et de modification de hachage SHA-1 pour le nom de fichier fourni
  • downloadFile exécute un fichier à partir du chemin fourni
  • file fournit des informations, renomme, supprime, déplace ou exécute un fichier dans le chemin donné
  • RDP démarre ou termine une session d’écran à distance
  • acceptFileInfo prépare le transfert de fichiers
  • acceptFile écrit le fichier fourni sur le disque.

Apple a corrigé les vulnérabilités utilisées avec les dernières mises à jour logicielles.

Partager un commentaire