Jena (pts015/26.01.2022/10:45) – Die Webseite des Radiosenders D100 in Hongkong wurde kompromittiert. Ein Safari-Exploit wird ausgeführt, der eine Spionagesoftware auf die Macs der Besucher des Nachrichtenportals installiert. Die von den Angreifern durchgeführten „Watering Hole“-Operationen zeigen, dass es sich bei den Zielen wahrscheinlich um politisch aktive, pro-demokratische Personen in Hongkong handelt. Die ESET-Forscher haben das Spionageprogramm DazzleSpy getauft und genauer untersucht. Die Malware ist in der Lage, eine Vielzahl sensibler und persönlicher Informationen zu sammeln. Ihren Bericht haben die Experten des europäischen IT-Sicherheitsherstellers auf WeLiveSecurity.de veröffentlicht.
„Der Exploit, der für die Codeausführung im Browser verwendet wurde, ist recht komplex und umfasste mehr als 1.000 Codezeilen. Interessanterweise deuten einige von ihnen darauf hin, dass die Schwachstelle auch unter iOS ausgenutzt werden könnte. Hiervon wären dann auch Geräte wie das iPhone XS und neuere Varianten betroffen“, sagt Marc-Étienne Léveillé, Malware-Forscher bei ESET, der den Watering-Hole-Angriff untersucht hat.
Erste Berichte im November 2021
Der erste Bericht über die Watering-Hole-Angriffe, die zu Exploits für den Safari-Webbrowser unter macOS führen, wurde von Google im vergangenen November veröffentlicht. ESET-Forscher untersuchten die Angriffe zur gleichen Zeit wie Google und haben zusätzliche Details über die Ziele und die Malware aufgedeckt, die zur Kompromittierung der Opfer verwendet wurde. Die Schwachstelle wurde mittlerweile durch einen Patch geschlossen.
Diese Kampagne weist Ähnlichkeiten mit der iOS-Malware-Kampagne LightSpy aus dem Jahr 2020 auf. Hierbei wurden mittels des HTML-Element iframe Besucher einer Webseite aus Hongkong zu einem WebKit-Exploit geführt.
DazzleSpy sammelt Informationen über seine Ziele
Das Spionageprogramm DazzleSpy ist in der Lage, eine Vielzahl von Aktionen durchzuführen. Die Malware kann Informationen über den kompromittierten Computer sammeln, nach bestimmten Dateien suchen, Dateien in den Ordnern „Desktop“, „Downloads“ und „Dokumente“ scannen, mitgelieferte Shell-Befehle ausführen, eine Remote-Bildschirmsitzung starten oder beenden und eine mitgelieferte Datei auf die Festplatte schreiben.
Angesichts der Komplexität der in dieser Kampagne verwendeten Exploits kamen die ESET-Forscher zu dem Schluss, dass die Gruppe, die hinter dieser Operation steht, über hohe technische Fähigkeiten verfügt. Interessant ist auch, dass DazzleSpy eine Ende-zu-Ende-Verschlüsselung erzwingt. Dadurch kommuniziert das Schadprogramm nicht mit seinem Command-and-Control-Server (C&C), wenn jemand versucht, die unverschlüsselte Übertragung zu belauschen.
Zu den weiteren interessanten Erkenntnissen über die Hacker hinter Dazzlespy gehört, dass die Malware, sobald sie das aktuelle Datum und die Uhrzeit auf einem kompromittierten Computer ermittelt hat, das erfasste Datum in die Zeitzone Asien/Shanghai konvertiert, bevor sie es an den C&C-Server sendet. Darüber hinaus enthält die DazzleSpy-Malware eine Reihe von internen Nachrichten in chinesischer Sprache.
Auf einen Blick – „Watering Hole“-Angriffe kompromittieren pro-demokratische Nachrichtenseite einer Radiostation in Hongkong. – Die Angreifer benutzen einen Exploit für den Browser Safari, der eine Spionagesoftware namens Dazzlespy auf die Macs von Besuchern der Seite installiert. – Die Ziele sind wahrscheinlich politisch aktive, pro-demokratische Personen in Hongkong. – Die Schwachstelle könnte auch gegen iOS genutzt worden sein, auch auf Geräten wie dem iPhone XS oder neueren. Die Kampagne weist Ähnlichkeit auf mit Lightspy aus 2020. – Die Payload DazzleSpy hat eine große Bandbreite an Spionagefunktionalitäten. – Die ESET-Forscher vermuten, dass die Gruppe hinter der Operation über hohe technische Fähigkeiten verfügt.
Weitere Details und die gesamte Analyse gibt es auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2022/01/26/neue-macos-malware-dazzlespy-ueber-webseite-verbreitet
(Ende)
Aussender: ESET Deutschland GmbH Ansprechpartner: Christian Lueg Tel.: +49 3641 3114 269 E-Mail: christian.lueg@eset.de Website: www.eset.com/de