(https://i.imgur.com/hntQVmz.png)
Las tres fallas de día cero abordadas por Apple el 21 de septiembre de 2023 se aprovecharon como parte de una cadena de explotación de iPhone en un intento de entregar una cepa de spyware llamada Predator dirigida al ex miembro del parlamento egipcio Ahmed Eltantawy entre mayo y septiembre de 2023.
"El ataque tuvo lugar después de que Eltantawy declarara públicamente sus planes de postularse para presidente en las elecciones egipcias de 2024", dijo el Citizen Lab, atribuyendo el ataque con alta confianza al gobierno egipcio debido a que era un cliente conocido de la herramienta de espionaje comercial.
Según una investigación conjunta realizada por el laboratorio interdisciplinario canadiense y el Grupo de Análisis de Amenazas (TAG) de Google, se dice que la herramienta de vigilancia mercenaria se entregó a través de enlaces enviados por SMS y WhatsApp.
"En agosto y septiembre de 2023, la conexión móvil Vodafone Egipto de Eltantawy se seleccionó persistentemente para la orientación a través de la inyección de red; cuando Eltantawy visitó ciertos sitios web que no usaban HTTPS, un dispositivo instalado en la frontera de la red de Vodafone Egipto lo redirigió automáticamente a un sitio web malicioso para infectar su teléfono con el spyware Predator de Cytrox", dijeron los investigadores de Citizen Lab.
La cadena de exploits aprovechó un conjunto de tres vulnerabilidades: CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993, que podrían permitir a un actor malintencionado eludir la validación de certificados, elevar los privilegios y lograr la ejecución remota de código en dispositivos específicos al procesar un contenido web especialmente diseñado.
Predator, fabricado por una compañía llamada Cytrox, es análogo a Pegasus de NSO Group, lo que permite a sus clientes vigilar objetivos de interés y recopilar datos confidenciales de dispositivos comprometidos. Parte de un consorcio de proveedores de spyware llamado Intellexa Alliance, fue bloqueado por el gobierno de los Estados Unidos en julio de 2023 por "permitir campañas de represión y otros abusos contra los derechos humanos".
(https://i.imgur.com/Qz97VcF.png)
El exploit, alojado en un dominio llamado sec-flare[.] com, se dice que fue entregado después de que Eltantawy fue redirigido a un sitio web llamado c.betly[.] Me por medio de un sofisticado ataque de inyección de red utilizando el middlebox PacketLogic de Sandvine situado en un enlace entre Telecom Egypt y Vodafone Egypt.
"El cuerpo del sitio web de destino incluía dos iframes, ID 'if1' que contenía contenido de cebo aparentemente benigno (en este caso un enlace a un archivo APK que no contenía spyware) e ID 'if2' que era un iframe invisible que contenía un enlace de infección Predator alojado en sec-flare[.] com", dijo el Citizen Lab.
La investigadora de Google TAG Maddie Stone lo caracterizó como un caso de un ataque adversario en el medio (AitM) que aprovecha una visita a un sitio web utilizando HTTP (en lugar de HTTPS) para interceptar y obligar a la víctima a visitar un sitio diferente operado por el actor de la amenaza.
"En el caso de esta campaña, si el objetivo iba a cualquier sitio 'http', los atacantes inyectaban tráfico para redirigirlos silenciosamente a un sitio de Intellexa, c.betly[.] yo", explicó Stone. "Si el usuario era el usuario objetivo esperado, el sitio redirigiría el objetivo al servidor de exploits, sec-flare[.] com."
Eltantawy recibió tres mensajes SMS en septiembre de 2021, mayo de 2023 y septiembre de 2023 que se hicieron pasar por alertas de seguridad de WhatsApp instando a Eltantawy a hacer clic en un enlace para finalizar una sesión de inicio de sesión sospechosa originada en un supuesto dispositivo Windows.
Si bien estos enlaces no coinciden con la huella digital del dominio antes mencionado, la investigación reveló que el spyware Predator se instaló en el dispositivo aproximadamente 2 minutos y 30 segundos después de que Eltantawy leyera el mensaje enviado en septiembre de 2021.
También recibió dos mensajes de WhatsApp el 24 de junio de 2023 y el 12 de julio de 2023, en los que una persona que afirmaba estar trabajando para la Federación Internacional de Derechos Humanos (FIDH) solicitaba su opinión sobre un artículo que apuntaba al sitio web sec-flare. .com. Los mensajes quedaron sin leer.
Google TAG dijo que también detectó una cadena de exploits que armó una falla de ejecución remota de código en el navegador web Chrome (CVE-2023-4762) para entregar Predator en dispositivos Android utilizando dos métodos: la inyección AitM y a través de enlaces únicos enviados directamente al objetivo.
(https://i.imgur.com/D5cSbJI.png)
CVE-2023-4762, una vulnerabilidad de confusión de tipo en el motor V8, fue reportada anónimamente el 16 de agosto de 2023 y parcheada por Google el 5 de septiembre de 2023, aunque el gigante de Internet evalúa que Cytrox / Intellexa puede haber utilizado esta vulnerabilidad como un día cero.
Según una breve descripción en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, CVE-2023-4762 se refiere a una "confusión de tipo en V8 en Google Chrome anterior a 116.0.5845.179 [que] permitió a un atacante remoto ejecutar código arbitrario a través de una página HTML diseñada".
Los últimos hallazgos, además de destacar el abuso de las herramientas de vigilancia para atacar a la sociedad civil, subrayan los puntos ciegos en el ecosistema de telecomunicaciones que podrían explotarse para interceptar el tráfico de la red e inyectar malware en los dispositivos de los objetivos.
"Aunque se han logrado grandes avances en los últimos años para 'cifrar la web', los usuarios todavía visitan ocasionalmente sitios web sin HTTPS, y una sola visita al sitio web que no sea HTTPS puede resultar en una infección de spyware", dijo el Citizen Lab.
Se recomienda a los usuarios que están en riesgo de amenazas de spyware debido a "quiénes son o qué hacen" que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo en iPhones, iPads y Mac para evitar tales ataques
Fuente: https://thehackernews.com