Los investigadores de Google Threat Analysis Group (TAG) revelaron un informe en el que detallan cómo un grupo de actores de amenazas logró espiar a los visitantes de determinados sitios web en Hong Kong empleando una vulnerabilidad día cero en macOS. Identificada como CVE-2021-30869, la falla fue corregida en macOS Catalina hace un par de meses.
En su informe, Google señala que estos ataques son parte de una campaña de abrevadero, en la que los actores de amenazas seleccionan sitios web específicos para extraer información de los visitantes: “Los sitios web comprometidos tenían dos iframes usados como exploits para iOS y para macOS”, señala TAG.
Los atacantes abusaron de la vulnerabilidad día cero para instalar un backdoor en dispositivos Apple a través de los sitios web comprometidos. Los investigadores creen que el grupo de hacking responsable de esta campaña cuenta con amplios recursos tecnológicos y económicos a su disposición, por lo que es probable que estén siendo auspiciados por un actor estatal.
Después de obtener acceso root a la plataforma afectada, los atacantes descargan una carga útil ejecutada en segundo plano en los dispositivos infectados. Al analizar una muestra del malware de etapa final, los expertos concluyeron que se trata de un desarrollo resultado de la más avanzada ingeniería de software, empleando un modelo basado en Data Distribution Service (DDS) para establecer comunicaciones C&C.
El backdoor usado por los hackers también es algo inusual, ya que permitió espiar a los objetivos de forma muy detallada, además de que los atacantes pudieron obtener registros del sistema afectado, tomar capturas de pantalla, grabar audio y video, ejecutar comandos de terminal y la posibilidad de cargar y descargar archivos.
Aunque los investigadores no mencionaron explícitamente cuáles son los sitios web comprometidos en esta campaña de hacking, señalan que entre los objetivos se encuentra un importante medio de comunicación en Hong Kong y un grupo activista pro democracia, por lo que se intuye el origen de este ataque en las autoridades chinas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
