• Une attaque dite de « point d’eau » a compromis le site d’information d’une station de radio pro-démocratie Hongkongaise.
• Les agresseurs ont exploité une vulnérabilité du navigateur Safari pour installer le malware de cyberespionnage DazzleSpy sur les Mac© des visiteurs du site.
• Les cibles sont probablement des personnes politiquement actives en faveur de la démocratie à Hong Kong.
• La vulnérabilité aurait également pu être exploitée sur iOS, voire sur des appareils tels que l’iPhone XS et plus récents. Cette campagne présente en fait des similitudes avec une campagne de 2020 dans laquelle le malware iOS LightSpy était diffusée de la même manière.
• DazzleSpy est en mesure d’effectuer une grande variété d’actions de cyberespionnage.
• ESET Research en conclut que les moyens techniques du groupe à l’origine de cette opération sont très avancés.
• Le malware utilise l’heure normale de la Chine et contient un certain nombre de messages internes en chinois.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert que le site d’information de la station de radio pro-démocratie D100 de Hong Kong a récemment été compromis afin d’exploiter une vulnérabilité de Safari et d’installer un malware de cyberespionnage sur les Mac des visiteurs du site. L’attaque dite de « point d’eau » menée par les agresseurs montre que les cibles sont probablement des personnes actives sur le plan politique et favorables à la démocratie de Hong Kong. Le malware diffusé aux visiteurs du site est un malware pour macOS qu’ESET a nommé DazzleSpy. Jusqu’à lors inconnu, il est capable de collecter une grande variété d’informations sensibles et personnelles.
Le premier signalement d’une attaque de type « point d’eau » menant à l’exploitation d’une vulnérabilité du navigateur web Safari sur macOS a été publié par Google en novembre dernier. Les chercheurs d’ESET ont enquêté sur ces attaques en même temps que Google et ont découvert des détails supplémentaires sur les cibles et les malwares utilisés pour compromettre les victimes. ESET a confirmé que le correctif identifié par l’équipe de Google corrige la vulnérabilité Safari utilisée dans les attaques.
« Le code d’exploitation de la vulnérabilité utilisé pour exécuter le malware dans le navigateur est assez complexe, comportant plus de 1 000 lignes. Certains indices dans le code suggèrent que la vulnérabilité aurait également pu être exploitée sur iOS, même sur des appareils tels que l’iPhone XS et plus récents, » explique Marc-Étienne Léveillé, qui a enquêté sur l’attaque.
Cette campagne présente des similitudes avec celle de 2020, dans laquelle le malware LightSpy iOS a été diffusé de la même manière, en utilisant une injection d’iframe sur des sites web destinés aux citoyens de Hong Kong conduisant à une exploitation de WebKit.
DazzleSpy est en mesure d’effectuer une grande variété d’actions de cyberespionnage. Il peut recueillir des informations sur l’ordinateur compromis, rechercher les fichiers spécifiques, analyser les fichiers des dossiers « Bureau », « Téléchargements » et « Documents », exécuter les commandes shell, démarrer ou terminer une session d’écran à distance et écrire un fichier sur le disque.
Compte tenu de la complexité de l’exploitation utilisée, ESET Research en a conclu que le groupe à son origine de cette opération dispose de solides moyens techniques. Il est également intéressant de noter qu’un chiffrement de bout en bout est appliqué dans DazzleSpy entre le client et le serveur de command & control (C2).
Parmi les autres conclusions intéressantes sur ces pirates, on peut noter qu’une fois que le malware obtient la date et l’heure de l’ordinateur compromis, il les convertit dans le fuseau horaire Asie/Shanghai (c’est-à-dire l’heure standard de la Chine), avant de l’envoyer au serveur de commande et de contrôle. DazzleSpy contient par ailleurs un certain nombre de messages internes en chinois.
Pour plus de détails techniques sur cette attaque de type « point d’eau » et sur le malware DazzleSpy, lisez l’article « Watering hole deploys new macOS malware, DazzleSpy, in Asia » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.