DazzleSpy Malware

Uma ameaça de backdoor potente e completa para iOS e macOS chamada DazzleSpy foi implantada em ataque de watering-hole contra cidadãos de Honk Kong com tendências pró-democracia. Os ataques foram notados pela primeira vez pelo Google TAG, que informou a Apple sobre eles. Para espalhar a ameaça de malware, os cibercriminosos criaram um site falso, que foi relatado por Felix Aimé da SEKOIA.IO. Eles também comprometeram o site oficial da estação de rádio D100, uma rádio online pró-democracia. Mais detalhes sobre a ameaça, os possíveis invasores e a cadeia de infecção empregada foram disponibilizados em um relatório dos pesquisadores.

De acordo com suas descobertas, o backdoor anteriormente desconhecido pode reconhecer vários comandos diferentes de seus operadores e estabelecer inúmeras rotinas invasivas nos sistemas comprometidos. Dependendo dos objetivos dos invasores, o DazzleSpy pode exfiltrar arquivos especificamente escolhidos, enumerar processos em execução, enumerar arquivos nos diretórios Dekstop, Documentos e Downloads, executar comandos shell arbitrários, manipular o sistema de arquivos e muito mais. O DazzleSpy, como o próprio nome sugere, também é capaz de espionar a vítima registrando eventos do mouse, além de iniciar ou encerrar sessões remotas. Além disso, a ameaça realiza as tarefas necessárias para abusar da vulnerabilidade CVE-2019-8526.

C2 Comunicação e Atribuição

O backdoor também garante que ninguém esteja espionando sua comunicação com o servidor de Comando e Controle (C2, C&C) do ataque. Primeiro, o DazzleSpy utiliza criptografia de ponta a ponta em suas mensagens. Separadamente, a ameaça insere um proxy de inspeção TLS que fica entre os dispositivos infectados e o servidor C2. Se uma entidade desconhecida for detectada para espionar, o DazzleSpy não fará uma tentativa de comunicação.

Até agora, não há pistas conclusivas estabelecendo o grupo de cibercriminosos responsável pelos ataques do DazzleSpy. No entanto, a natureza da operação e o fato de os pesquisadores de infosec encontrarem várias mensagens internas em chinês podem ser uma pista. A operação também exibe semelhanças significativas com um ataque de watering-hole que ocorreu em 2020. Naquela época, a atividade ameaçadora foi atribuída a um grupo APT (Advanced Persistent Threat) rastreado como TwoSail Junk. Os hackers visaram cidadãos de Hong Kong com o malware LightSpy iOS que foi propagado por meio de técnicas de injeção de iframe no site.