Los usuarios de Apple iOS sirvieron malware móvil en la campaña Poisoned Information


Los usuarios de teléfonos inteligentes Apple iOS en Hong Kong están siendo atacados en una nueva campaña que explota a los lectores de noticias en línea para servir malware.

Esta semana, los investigadores de Development Micro dijeron que el esquema, denominado Operación Noticias Envenenadas, utiliza enlaces publicados en una variedad de foros populares entre los residentes de Hong Kong que dicen conducir a noticias.

Los miembros recién registrados de los foros de discusión publicarían enlaces generalmente relacionados con el sexo, los titulares de clickbait y COVID-19.

Los enlaces en realidad conducen a medios de noticias legítimos sin embargo, un ataque de pozo de agua (.PDF) utiliza un iframe oculto para implementar y ejecutar código malicioso.

Ver también: Ciberseguridad: menos de la mitad de las organizaciones están totalmente preparadas para hacer frente a los ciberataques

«Las URL utilizadas condujeron a un sitio website malicioso creado por el atacante, que a su vez contenía tres iframes que apuntaban a diferentes sitios», dicen las investigaciones. «El único iframe noticeable conduce a un sitio de noticias legítimo, lo que hace que las personas crean que están visitando dicho sitio. Un iframe invisible se usó para el análisis del sitio web el otro condujo a un sitio que albergaba el script principal de las vulnerabilidades de iOS».

La campaña comenzó a mediados de febrero y parece estar en curso. Basado en el modelo de distribución, el equipo cree que la campaña no es selectiva en sus objetivos en cambio, el objetivo es comprometer tantos dispositivos como sea posible.

Si un usuario hace clic en un enlace y está usando un Apple Iphone 6S hasta el Iphone X con iOS 12.1 y 12.2 que no ha recibido un parche silencioso para un mistake de Safari que Apple ha reparado en las versiones recientes del sistema operativo de la empresa, esto comienza una infección cadena.

La vulnerabilidad Safari, que no tiene un CVE, se puede aprovechar para desencadenar CVE-2019-8605, una falla de memoria sin uso resuelta en iOS 12.3, macOS Mojave 10.14.5, tvOS 12.3 y watchOS 5.2.1. Si se explota, este mistake puede comprometer el núcleo para obtener privilegios de root.

La segunda etapa de la cadena de ataque es el despliegue de una nueva forma de malware para iOS llamada lightSpy, una puerta trasera modular que ofrece a los operadores la opción de ejecutar de forma remota comandos de shell y manipular archivos en el dispositivo víctima.

CNET: Trabajar desde casa te hace vulnerable a los hackers. Aquí le mostramos cómo mantenerse a salvo

Pattern Micro dice que la mayoría de los módulos contenidos en el «adware indocumentado y sofisticado» se centran en la filtración de datos, incluido el robo de listas de contactos, ubicación GPS, historial de conexión Wi-Fi, datos de hardware, llaveros iOS, registros de llamadas telefónicas, dispositivos móviles Safari y el historial del navegador Chrome, y mensajes SMS.

Además, lightSpy puede comprometer las aplicaciones de mensajería Telegram, Wechat y QQ, filtrando información de cuenta, contactos, grupos, mensajes y archivos.

Se cree que los actores de la amenaza detrás de la campaña Poisoned News están conectados o son los mismos que los operadores de dmsSpy, una variante de Android del mismo malware que se ha distribuido a través de canales abiertos de Telegram desde 2019.

TechRepublic: Coronavirus: lo que los profesionales de negocios necesitan saber

Pattern Micro dice que la misma infraestructura de comando y control (C2) y los nombres de dominio utilizados por los ataques de pozos de agua de iOS son los mismos que la variante de Android, aunque a través de diferentes subdominios.

Tencent, el desarrollador de WeChat y QQ, dijo que se han enviado recordatorios al «porcentaje muy pequeño» de usuarios que no han actualizado sus compilaciones de iOS. Telegram y Apple también han sido notificados.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia authentic