El Grupo de Asesoramiento sobre Amenazas (TAG) de Google ha revelado que los hackers utilizaron sitios web comprometidos, una variedad de vulnerabilidades y un sofisticado malware para obtener acceso a dispositivos iOS y macOS en una campaña que parecía estar vagamente dirigida a los ciudadanos de Hong Kong.
TAG dice que “descubrió en agosto ataques de riego dirigidos a los visitantes de los sitios web de Hong Kong de un medio de comunicación y de un prominente grupo laboral y político pro-democracia”. Este tipo de ataque no suele tener un objetivo específico, sino que opta por centrarse en un grupo demográfico amplio, como los propietarios de dispositivos Apple que sienten curiosidad por los acontecimientos políticos de Hong Kong.
Al parecer, la campaña aprovechó una vulnerabilidad de día cero (CVE-2021-30869) en macOS Catalina que TAG reveló rápidamente a Apple, que lanzó un parche el 23 de septiembre. TAG dice que el ataque explotó varias vulnerabilidades previamente conocidas en el motor de renderizado WebKit utilizado por Safari en iOS y macOS, también, lo que significa que las fallas de seguridad no eran completamente novedosas.
Los atacantes utilizaron esta cadena de exploits para instalar un backdoor en los dispositivos vulnerables que visitaban los sitios web comprometidos. TAG afirma que esta puerta trasera contenía módulos que podían utilizarse para identificar los dispositivos comprometidos; grabar audio, capturar la pantalla e instalar un keylogger; descargar y cargar archivos; y ejecutar comandos de terminal como usuario root.
“Basándonos en nuestros hallazgos”, dice TAG, “creemos que este actor de la amenaza es un grupo con buenos recursos, probablemente respaldado por el Estado, con acceso a su propio equipo de ingeniería de software, basándonos en la calidad del código de la carga útil”. (Sin embargo, no llega a atribuir el ataque a una entidad concreta).
La entrada del blog de TAG incluye más detalles sobre cómo analizó esta campaña junto con los indicadores de compromiso que pueden utilizarse para determinar si un dispositivo fue afectado por el ataque. El grupo dice que planea compartir información “en torno a otra campaña no relacionada que descubrimos utilizando dos 0-days de Chrome (CVE-2021-37973 y CVE-2021-37976)” en algún momento “pronto”.
los mejores jabones artesanales
¿Qué hay detrás de los precios?
¿Cómo se mantiene la plataforma?
Contacto empresas
Comparar artículos
- Total (0)