OSX.DazzleSpy es un nuevo implante de macOS dirigido a sitios web a favor de la democracia en Hong Kong. Afecta al navegador Safari en macOS y se utiliza para ciberespionaje. Investigadores Marc-Etienne M.Léveillé y Anton Cherepanov de ESET publicó el informe. Afecta a versiones de Safari anteriores a la 14.1.
DazzleSpy software malicioso para Mac
Felix Aimé de SEKOIA.IO descubrió que uno de los sitios web utilizados para difundir el exploit era un sitio web falso dirigido a activistas de Hong Kong. La página alojada en el malicioso amnestyhk.[.]El dominio org busca la versión de macOS instalada y redirige a la siguiente etapa si el navegador se ejecuta en macOS 10.15.2 o posterior. La siguiente etapa, denominada 4ba29d5b72266b28.html, carga el JavaScript que contiene el código de explotación: mac.js.
El exploit es complejo con más de 1000 líneas de código. Parece que se comentó algún código que podría haber apuntado a iOS, como el iPhone XS y versiones más recientes. Un parche identificado by Google TAG soluciona la vulnerabilidad. La carga útil entregada a los visitantes vulnerables del sitio D100 era un nuevo malware para macOS denominado DazzleSpy.
DazzleSpy es una puerta trasera con todas las funciones que proporciona a los atacantes un gran conjunto de funcionalidades para controlar y extraer archivos de una computadora comprometida. DazzleSpy se conecta a un servidor C&C codificado; la dirección IP y el puerto encontrados en la muestra fueron 88.218.192[.]128:5633. Al principio, el malware realiza un protocolo de enlace TLS y luego utiliza un protocolo personalizado para intercambiar objetos JSON para entregar comandos desde el servidor C&C a las Mac comprometidas.
Un certificado autofirmado protege las comunicaciones del malware de posibles escuchas al negarse a enviar datos si el cifrado de extremo a extremo no es posible. El equipo compartió una lista de comandos utilizados por el servidor C&C. Un comando llamado “info” puede recopilar:
- UUID de hardware y número de serie de Mac
- Nombre de usuario
- Información sobre discos y sus tamaños.
- versión macos
- Fecha y hora actuales
- SSID de Wi-Fi
- Direcciones IP
- Ruta binaria del malware y hash MD5 del ejecutable principal
- Versión de malware
- Estado de protección de integridad del sistema
- Privilegios actuales
- Si es posible utilizar CVE-2019-8526 para volcar el llavero
Esta campaña de DazzleSpy tiene similitudes con una de 2020 en la que el malware LightSpy para iOS (descrito por TrendMicro y Kaspersky) se distribuyó de la misma manera.