DazzleSpy, un malware qui espionne les utilisateurs MacOS

ESET Research a découvert une vulnérabilité de Safari qui permet d’installer un malware de cyberespionnage sur les Mac. Le malware est nommé DazzleSpy par ESET. Jusqu’à lors inconnu, il est capable de collecter une grande variété d’informations sensibles et personnelles.

Le premier signalement d’une attaque de type « point d’eau » menant à l’exploitation d’une vulnérabilité du navigateur web Safari sur macOS a été publié par Google en novembre dernier. Les chercheurs d’ESET ont enquêté sur ces attaques en même temps que Google et ont découvert des détails supplémentaires sur les cibles et les malwares utilisés pour compromettre les victimes. ESET a confirmé que le correctif identifié par l’équipe de Google corrige la vulnérabilité Safari utilisée dans les attaques.

« Le code d’exploitation de la vulnérabilité utilisé pour exécuter le malware dans le navigateur est assez complexe, comportant plus de 1 000 lignes. Certains indices dans le code suggèrent que la vulnérabilité aurait également pu être exploitée sur iOS, même sur des appareils tels que l’iPhone XS et plus récents » explique Marc-Étienne Léveillé, qui a enquêté sur l’attaque.

Cette campagne présente des similitudes avec celle de 2020, dans laquelle le malware LightSpy iOS a été diffusé de la même manière, en utilisant une injection d’iframe sur des sites web destinés aux citoyens de Hong Kong conduisant à une exploitation de WebKit.

DazzleSpy est en mesure d’effectuer une grande variété d’actions de cyberespionnage. Il peut recueillir des informations sur l’ordinateur compromis, rechercher les fichiers spécifiques, analyser les fichiers des dossiers « Bureau », « Téléchargements » et « Documents », exécuter les commandes shell, démarrer ou terminer une session d’écran à distance et écrire un fichier sur le disque.

Compte tenu de la complexité de l’exploitation utilisée, ESET Research en a conclu que le groupe à son origine de cette opération dispose de solides moyens techniques. Il est également intéressant de noter qu’un chiffrement de bout en bout est appliqué dans DazzleSpy entre le client et le serveur de command & control (C2).

Parmi les autres conclusions intéressantes sur ces pirates, on peut noter qu’une fois que le malware obtient la date et l’heure de l’ordinateur compromis, il les convertit dans le fuseau horaire Asie/Shanghai (c’est-à-dire l’heure standard de la Chine), avant de l’envoyer au serveur de commande et de contrôle. DazzleSpy contient par ailleurs un certain nombre de messages internes en chinois.

Pour plus de détails techniques sur cette attaque de type « point d’eau » et sur le malware DazzleSpy, Vous pouvez lire l’article « Watering hole deploys new macOS malware, DazzleSpy, in Asia »


La Rédaction d'Africa Cybersecurity Mag