DazzleSpy Malware

Una amenaza de puerta trasera potente y completa para iOS y macOS llamada DazzleSpy se implementó en ataques de abrevadero contra ciudadanos de Honk Kong con inclinaciones prodemocráticas. Los ataques fueron notados por primera vez por Google TAG, quien informó a Apple sobre ellos. Para difundir la amenaza del malware, los ciberdelincuentes crearon un sitio web falso, que fue denunciado por Felix Aimé de SEKOIA.IO. También comprometieron el sitio web oficial de la estación de radio D100, una radio en línea a favor de la democracia. Un informe de los investigadores puso a disposición más detalles sobre la amenaza, los posibles atacantes y la cadena de infección empleada.

Según sus hallazgos, la puerta trasera previamente desconocida puede reconocer numerosos comandos diferentes de sus operadores y establecer numerosas rutinas invasivas en los sistemas comprometidos. Dependiendo de los objetivos de los atacantes, DazzleSpy puede filtrar archivos elegidos específicamente, enumerar procesos en ejecución, enumerar archivos en los directorios Dekstop, Documentos y Descargas, ejecutar comandos de shell arbitrarios, manipular el sistema de archivos y más. DazzleSpy, como sugiere su nombre, también es capaz de espiar a la víctima registrando eventos del mouse, así como iniciar o finalizar sesiones remotas. Además, la amenaza lleva a cabo las tareas necesarias para abusar de la vulnerabilidad CVE-2019-8526.

C2 Comunicación y Atribución

La puerta trasera también se asegura de que nadie esté espiando su comunicación con el servidor de comando y control (C2, C&C) del ataque. Primero, DazzleSpy utiliza cifrado de extremo a extremo para sus mensajes. Por separado, la amenaza inserta un proxy de inspección TLS que se interpone entre los dispositivos infectados y el servidor C2. Si se detecta una entidad desconocida para espiar, DazzleSpy no intentará comunicarse.

Hasta el momento, no hay pistas concluyentes que establezcan el grupo de cibercriminales responsable de los ataques DazzleSpy. Sin embargo, la naturaleza de la operación y el hecho de que los investigadores de seguridad de la información encontraron varios mensajes internos en chino pueden ser una pista. La operación también exhibe similitudes significativas con un ataque de pozo de agua que tuvo lugar en 2020. En ese entonces, la actividad amenazante se atribuyó a un grupo APT (Advanced Persistent Threat) rastreado como TwoSail Junk. Los piratas informáticos atacaron a los ciudadanos de Hong Kong con el malware LightSpy iOS que se propagó a través de técnicas de inyección de iframe en sitios web.