Alguns ataques de malware roubam dados de usuários do iPhone e isso está se tornado uma grande ameaça a todos os donos desses aparelho.
No início deste ano, cinco cadeias de exploração de escalonamento de privilégios usadas ativamente para comprometer dispositivos iOS por invasores desconhecidos foram descobertas pelas equipes do GThreat Analysis Group (TAG) e do Project Zero do Google.
Os atores de ameaças usavam sites comprometidos para executar ataques de watering hole, visando usuários de dispositivos iPhone executando quase todas as versões entre o iOS 10 e o iOS 12, sites visitados milhares de vezes por semana.
Sobre isso, Ian Beer, do Project Zero, disse:
“Isso indicou um grupo fazendo um esforço contínuo para invadir os usuários de iPhones em certas comunidades por um período de pelo menos dois anos”.
Ataques de malware roubam dados de usuários do iPhone
No total, os pesquisadores de segurança do Google descobriram 14 vulnerabilidades do iOS sendo exploradas como parte das cinco cadeias de exploração únicas, cinco afetando o kernel, sete o navegador do iPhone e duas ligadas ao sandbox.
Uma das cinco cadeias de exploração abusou do CVE-2019-7287 e do CVE-2019-7286, que na época eram vulnerabilidades de dia zero.
Elas foram corrigidos pela Apple em 7 de fevereiro, como parte do lançamento do iOS 12.1.4, depois que os pesquisadores relataram sua descoberta em 1º de fevereiro.
Análises abrangentes para todas as cinco cadeias de exploração estão disponíveis nesses posts separados:
iOS Exploit Chain #1
iOS Exploit Chain #2
iOS Exploit Chain #3
iOS Exploit Chain #4
iOS Exploit Chain #5
As vítimas seriam infectadas imediatamente e “em massa” depois de visitar os sites invadidos usados por esta campanha, com implantes maliciosos sendo descartados, instalados e lançados nos vulneráveis iPhones dos visitantes.
Beer ainda acrescentou que:
“Não houve discriminação de alvo; basta visitar o site invadido e o servidor de exploração foi suficiente para atacar seu dispositivo e, se obtiver êxito, instale um implante de monitoramento.”
- Como instalar o jogo OpenTTD no Linux via Flatpak
- Como instalar o jogo Milky Way Madness no Linux via Snap
- Como instalar o cliente Evol Online ManaPlus no Linux
- Como instalar o Memory Game no Linux via Snap
Dados roubados enviados para casa em texto sem formatação
Para organizar as explorações de escalonamento de privilégios que lhes dariam “execução de código sem sandbox como root nos iPhones”, os operadores da campanha usaram vários exploites do JSC WebKit para obter uma posição inicial nos iPhones de suas vítimas.
Embora essas explorações tenham sido projetadas para contornar as medidas de mitigação da injeção de código JIT, elas não foram capazes de ignorar os novos reforços JIT baseados em PAC disponíveis nos iPhones com processador A12.
Isso implica que os usuários do iPhone XS, iPhone XS Max e iPhone XR foram protegidos contra esses ataques, já que as explorações do JSC teriam “socorrido se fossem executadas em um dispositivo A12”.
Embora o implante mal-intencionado usado pelos invasores seja capaz de roubar “dados privados como iMessages, fotos e localização do GPS em tempo real”, ele também mostra sinais de que seus criadores não têm tanta experiência no desenvolvimento de malware, pois usam um comando codificado e endereço IP do servidor de controle (C2) e todos os dados enviados ao servidor C2 são enviados em texto sem formatação.
Vendo que nenhuma criptografia é usada para filtrar os dados roubados, “Se você estiver conectado a uma rede Wi-Fi não criptografada, essas informações serão transmitidas a todos ao seu redor, ao seu operador de rede e a qualquer rede intermediária para o servidor de comando e controle”.
Embora o malware sempre carregue os diretórios do contêiner – contendo dados não criptografados, como mensagens – para uma lista de aplicativos de terceiros codificados, incluindo, entre outros, WhatsApp, Telegram, Gmail, Skype e Facebook, ele também pode ser instruído a enviar os dados para aplicativos específicos ou para todos os aplicativos instalados no iPhone de uma só vez.
Infelizmente, os usuários infectados não seriam capazes de detectar se o implante estava sendo executado em seus iPhones, pois não há como acessar uma lista de todos os processos em execução no dispositivo – isso possibilitou aos criadores do implante pular a adição de recursos de ocultação. projetado para ocultar a presença do malware.
Embora o implante mal-intencionado não tenha uma maneira de obter persistência nos iPhones comprometidos e seja removido após a reinicialização do dispositivo, os invasores podem roubar as credenciais da conta das vítimas para vários serviços e controlá-las mesmo após a remoção do malware.
“Lembre-se também de que este foi um caso de fracasso para o atacante: nesta campanha que vimos, quase certamente há outras que ainda não foram vistas”, concluiu Beer.
O que está sendo falado no blog
- Ataques de malware roubam dados de usuários do iPhone
- Driver exFAT estará na linha principal do kernel 5.4
- Qmmp 1.3.4 lançado com melhorias de estabilidade
- Ubuntu 19.10 entrou em congelamento de recursos (Feature Freeze)
- ExTiX Deepin 19.8 lançado – Confira as novidades e veja onde baixar
