• Une attaque dite de « point d’eau » a compromis le site d’information d’une station de radio pro-démocratie Hongkongaise.
• Les agresseurs ont exploité une vulnérabilité du navigateur Safari pour installer le malware de cyberespionnage DazzleSpy sur les Mac© des visiteurs du site.
• Les cibles sont probablement des personnes politiquement actives en faveur de la démocratie à Hong Kong.
• La vulnérabilité aurait également pu être exploitée sur iOS, voire sur des appareils tels que l’iPhone XS et plus récents. Cette campagne présente en fait des similitudes avec une campagne de 2020 dans laquelle le malware iOS LightSpy était diffusée de la même manière.
• DazzleSpy est en mesure d’effectuer une grande variété d’actions de cyberespionnage.
• ESET Research en conclut que les moyens techniques du groupe à l’origine de cette opération sont très avancés.
• Le malware utilise l’heure normale de la Chine et contient un certain nombre de messages internes en chinois.
iT News (ESET) – Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert que le site d’information de la station de radio pro-démocratie D100 de Hong Kong a récemment été compromis afin d’exploiter une vulnérabilité de Safari et d’installer un malware de cyberespionnage sur les Mac des visiteurs du site. L’attaque dite de « point d’eau » menée par les agresseurs montre que les cibles sont probablement des personnes actives sur le plan politique et favorables à la démocratie de Hong Kong. Le malware diffusé aux visiteurs du site est un malware pour macOS qu’ESET a nommé DazzleSpy. Jusqu’à lors inconnu, il est capable de collecter une grande variété d’informations sensibles et personnelles.
Le premier signalement d’une attaque de type « point d’eau » menant à l’exploitation d’une vulnérabilité du navigateur web Safari sur macOS a été publié par Google en novembre dernier. Les chercheurs d’ESET ont enquêté sur ces attaques en même temps que Google et ont découvert des détails supplémentaires sur les cibles et les malwares utilisés pour compromettre les victimes. ESET a confirmé que le correctif identifié par l’équipe de Google corrige la vulnérabilité Safari utilisée dans les attaques.
« Le code d’exploitation de la vulnérabilité utilisé pour exécuter le malware dans le navigateur est assez complexe, comportant plus de 1 000 lignes. Certains indices dans le code suggèrent que la vulnérabilité aurait également pu être exploitée sur iOS, même sur des appareils tels que l’iPhone XS et plus récents, » explique Marc-Étienne Léveillé, qui a enquêté sur l’attaque.
Cette campagne présente des similitudes avec celle de 2020, dans laquelle le malware LightSpy iOS a été diffusé de la même manière, en utilisant une injection d’iframe sur des sites web destinés aux citoyens de Hong Kong conduisant à une exploitation de WebKit.
DazzleSpy est en mesure d’effectuer une grande variété d’actions de cyberespionnage. Il peut recueillir des informations sur l’ordinateur compromis, rechercher les fichiers spécifiques, analyser les fichiers des dossiers « Bureau », « Téléchargements » et « Documents », exécuter les commandes shell, démarrer ou terminer une session d’écran à distance et écrire un fichier sur le disque.
Compte tenu de la complexité de l’exploitation utilisée, ESET Research en a conclu que le groupe à son origine de cette opération dispose de solides moyens techniques. Il est également intéressant de noter qu’un chiffrement de bout en bout est appliqué dans DazzleSpy entre le client et le serveur de command & control (C2).
Parmi les autres conclusions intéressantes sur ces pirates, on peut noter qu’une fois que le malware obtient la date et l’heure de l’ordinateur compromis, il les convertit dans le fuseau horaire Asie/Shanghai (c’est-à-dire l’heure standard de la Chine), avant de l’envoyer au serveur de commande et de contrôle. DazzleSpy contient par ailleurs un certain nombre de messages internes en chinois.
Pour plus de détails techniques sur cette attaque de type « point d’eau » et sur le malware DazzleSpy, lisez l’article « Watering hole deploys new macOS malware, DazzleSpy, in Asia » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
À propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Twitter.