Проблема компрометации iPhone посредством MDM оказалась шире, чем предполагали специалисты
Проблема компрометации iPhone посредством MDM оказалась шире, чем предполагали специалисты
Проблема компрометации iPhone посредством MDM оказалась шире, чем предполагали специалисты
27.07.2018
Сообщалось, что данная кампания затронула пользователей iOS от 10.2.1 до 11.2.6 и длилась с 2015 года. После того как устройства жертв "привязывались" к MDM-серверу атакующих, те начинали понемногу подменять легитимные приложения вредоносными версиями. Исследователи обнаружили четыре таких подмены: WhatsApp, Telegram, PrayTime и MyApp. Так как для внесения изменений в приложения преступники использовали sideloading-технику BOptions, функциональность приложений не страдала от внесенных в код изменений. С точки зрения пользователей, они работали как должно и не вызывали подозрений. На самом деле, вредоносные версии следили за своими жертвами, извлекая и передавая преступникам различную информацию о пострадавших.
Теперь аналитики Cisco Talos сообщили, что в ходе продолжающегося расследования им удалось обнаружить новые элементы MDM-инфраструктура преступников и новые вредоносные бинарники, предназначенные для атак на пользователей Microsoft Windows. Частично во время этой кампании злоумышленники использовали ту же инфраструктуру:
- Ios-update-whatsapp[.]com (новое)
- Wpitcher[.]com
- Ios-certificate-update.com
Эксперты пишут, что в мае 2018 года что MDM и сервисы Windows работали на одном и том же сервере, а некоторые C&C-серверы злоумышленников остаются в строю до сих пор. Как оказалось, помимо вредоносных версий Telegram и WhatsApp атакующие распространяют вредоносный браузер Safari и VoIP-приложение IMO.
Кроме того, специалистам удалось обнаружить возможную связь этих атак со старой хакерской группировкой Bahamut, ранее использовавшей похожие MDM-атаки для заражения устройств на Android.
Так, найденная аналитиками Talos MDM-инфраструктура была создана в январе 2018 года и активно эксплуатировалась с января по март. За это время целями атакующих стали два устройства, находящихся в Индии, и еще одно устройство с британским телефонным номером в Катаре. Исследователи ссылаются на статью в Bellingcat и напоминают, что группировка Bahamut использовала очень похожую тактику для атак на Android-устройства в Катаре. К тому же, с текущей вредоносной кампанией Bahamut связывает общее с одним из iOS приложений доменное имя.
Вышеупомянутые вредоносные версии Safari и VoIP-приложения IMO использовались для хищения личных данных жертв. Так, браузер был сконфигурирован таким образом, чтобы автоматически извлекать имена пользователей и пароли от различных сервисов, включая Yahoo, Rediff, Amazon, Google, Reddit, Baidu, ProtonMail, Zoho, Tutanota и так далее. Кроме того, браузер оснащался тремя вредоносными плагинами (Add Bookmark, Add To Favourites и Add to Reading List), которые переправляли все собранные данные на удаленный сервер злоумышленников.
Теперь не совсем ясно, кто именно стоит за данной кампанией и кто именно является целью хакеров, но исследователи по-прежнему уверены, что злоумышленники действуют из Индии и явно имеют хорошее финансирование.
Copyright © 2018-2022, ООО "ГРОТЕК"