Tin tặc lợi dụng trang web tin tức để cài đặt phần mềm gián điệp lên iPhone

Một chiến dịch tấn công watering-hole mới được phát hiện chuyên nhắm đến những người dùng iPhone ở Hồng Kông. Kẻ xấu sử dụng các trang tin tức địa phương làm mồi nhử để gián tiếp cài đặt phần mềm độc hại lên thiết bị.

Theo nghiên cứu được công bố bởi 2 công ty an ninh mạng là Trend MicroKaspersky, cuộc tấn công “Operation Poisoned News” (khai thác tin tức độc hại) tận dụng chuỗi khai thác iOS từ xa để triển khai một chương trình cài vào hệ thống đa tính năng tên là ‘LightSpy’ thông qua các đường link dẫn đến các trang web tin tức địa phương. Khi nhấp vào các đường link này, nó sẽ chạy payload của phần mềm độc hại và cho phép kẻ xâm nhập lọc dữ liệu nhạy cảm và thậm chí kiểm soát hoàn toàn thiết bị bị tấn công.

Các cuộc tấn công watering-hole thường giúp kẻ xấu gây hại cho nhóm người dùng bằng cách chèn vào các trang web mà nạn nhân đã truy cập. Sau đó chúng sẽ kết nối vào thiết bị của nạn nhân và tải phần mềm độc hại về máy.

Những nhóm tấn công APT được Kaspersky đặt tên là “TwoSail Junk”. Những kẻ này được cho là đang lợi dụng các lỗ hổng có trong iOS 12.1 và 12.2 thuộc các mẫu từ iPhone 6 đến iPhone X. Những cuộc tấn công được xác định lần đầu tiên vào ngày 10/1, sau đó được phát triển thêm nhiều tấn công hơn vào ngày 18/2.

Sử dụng các đường link độc hại để lừa nạn nhân cài đặt phần mềm gián điệp

Kẻ xấu sử dụng các đường link giả được đăng trên nhiều diễn đàn phổ biến với người dân Hồng Kông. CHúng có vỏ bọc là các đường link dẫn đến những tin tức khác nhau về các chủ đề như tình dục, clickbait hoặc tin tức liên quan đến đại dịch COVID-19.

iphone iOS spyware

Các URL có thể chuyển hướng đến các trang tin tức hợp pháp đã bị tấn công cũng như các trang web được thiết lập riêng cho chiến dịch này (ví dụ như đường link hxxps://appledaily.googlephoto[.]vip/news[.]html). Trong cả hai trường hợp, iframe ẩn sẽ được tải xuống và chạy mã độc.

Các nhà nghiên cứu của Trend Micro cho biết “Các URL được sử dụng sẽ dẫn đến trang web độc hại do kẻ tấn công tạo ra, trong đó lần lượt chứa ba iframe chỉ vào các trang web khác nhau. Iframe duy nhất có thể nhìn thấy dẫn đến một trang web tin tức hợp pháp, làm cho người dùng lầm tưởng mình đang ở trang web thật. Một iframe vô hình được sử dụng để phân tích trang web. Iframe còn lại dẫn đến một trang web lưu trữ tập lệnh chính để khai thác trên iOS.”

iOS exploit

Phần mềm độc hại khai thác một lỗ hổng “được vá âm thầm” trong Safari. Lỗi này khi được có trên trình duyệt sẽ dẫn đến việc khai thác lỗ hổng use-after-free của bộ nhớ (được gọi là CVE-2019-8605). Từ đó, kẻ tấn công có thể thực thi mã tùy ý với quyền root, cài đặt backdoor LightSpy độc quyền. Lỗi này đã được khắc phục trong iOS 12.3, macOS Mojave 10.14.5, tvOS 12.3 và watchOS 5.2.1.

Phần mềm gián điệp có khả năng thực thi các lệnh shell từ xa và kiểm soát hoàn toàn thiết bị. Nó cũng chứa nhiều mô-đun có thể tự động tải xuống cho phép lọc các dữ liệu như danh sách liên lạc, vị trí GPS, lịch sử kết nối Wifi, dữ liệu phần cứng, khóa bàn phím iOS, hồ sơ cuộc gọi, lịch sử trình duyệt Chrome và tin nhắn SMS.

Một động thái giám sát nhắm đến Đông Nam Á

Người ta nghi ngờ TwoSail Junk có thể được kết nối hoặc có cùng cách khai thác của “dmsSpy”. dmsSpy là một biến thể dùng trên Android của một phần mềm độc hại được phát tán năm ngoái thông qua các kênh của dịch vụ Telegram dưới vỏ bọc của các ứng dụng lịch biểu tình ở Hồng Kông.

Các nhà nghiên cứu nhận thấy “Các máy chủ command-and-control và máy chủ dowload của dmsSpy đã sử dụng cùng một tên miền (hkrevolution[.]club) như một trong những watering-hole được sử dụng bởi Poisoned News trên iOS”.

Sau khi cài đặt, các ứng dụng giả mạo thu thập và lọc các thông tin liên hệ, tin nhắn văn bản, vị trí của người dùng và tên của các tệp được lưu trữ.

Các nhà nghiên cứu của Kaspersky kết luận “Framework và cơ sở hạ tầng này là một ví dụ thú vị về cách tiếp cận nhanh để phát triển và triển khai framework ở Đông Nam Á,”.

Trend Micro cho rằng thiết kế và chức năng của cuộc tấn công là khiến càng nhiều thiết bị di động bị tấn công càng tốt. Từ đó giám sát và bảo vệ cửa sau cho thiết bị.

Để giảm thiểu các mối đe dọa, mọi người cần cập nhật thiết bị của mình thường xuyên và tránh tải ứng dụng từ các nguồn trái phép trên Android.

Quỳnh Thảo

Theo TheHackerNews