DazzleSpy Malware

Una potente e completa minaccia backdoor per iOS e macOS chiamata DazzleSpy è stata implementata in attacchi porosi contro cittadini di Honk Kong con tendenze a favore della democrazia. Gli attacchi sono stati notati per la prima volta da Google TAG, che ne ha informato Apple. Per diffondere la minaccia malware, i criminali informatici hanno creato un sito Web falso, segnalato da Felix Aimé di SEKOIA.IO. Hanno anche compromesso il sito web ufficiale della stazione radiofonica di D100, una radio online a favore della democrazia. Maggiori dettagli sulla minaccia, sui potenziali aggressori e sulla catena di infezione impiegata sono stati resi disponibili in un rapporto dei ricercatori.

Secondo le loro scoperte, la backdoor precedentemente sconosciuta è in grado di riconoscere numerosi comandi diversi dai suoi operatori e stabilire numerose routine invasive sui sistemi compromessi. A seconda degli obiettivi degli aggressori, DazzleSpy può esfiltrare file scelti in modo specifico, enumerare processi in esecuzione, enumerare file nelle directory Dekstop, Documents e Downloads, eseguire comandi shell arbitrari, manipolare il file system e altro ancora. DazzleSpy, come suggerisce il nome, è anche in grado di spiare la vittima registrando gli eventi del mouse, nonché di avviare o terminare sessioni remote. Inoltre, la minaccia svolge i compiti necessari per abusare della vulnerabilità CVE-2019-8526.

C2 Comunicazione e attribuzione

La backdoor si assicura inoltre che nessuno stia spiando la sua comunicazione con il server Command-and-Control (C2, C&C) dell'attacco. Innanzitutto, DazzleSpy utilizza la crittografia end-to-end per i suoi messaggi. Separatamente, la minaccia inserisce un proxy di ispezione TLS che si trova tra i dispositivi infetti e il server C2. Se viene rilevata un'entità sconosciuta che intercetta, DazzleSpy non eseguirà un tentativo di comunicazione.

Finora, non ci sono piste conclusive che stabiliscano il gruppo di criminali informatici responsabile degli attacchi DazzleSpy. Tuttavia, la natura dell'operazione e il fatto che i ricercatori di Infosec abbiano trovato diversi messaggi interni in cinese potrebbero essere un indizio. L'operazione mostra anche somiglianze significative con un attacco ad acqua avvenuto nel 2020. All'epoca, l'attività minacciosa era attribuita a un gruppo APT (Advanced Persistent Threat) tracciato come TwoSail Junk. Gli hacker hanno preso di mira i cittadini di Hong Kong con il malware LightSpy per iOS che è stato propagato attraverso tecniche di iniezione di iframe del sito web.