Google compartió su análisis sobre una campaña de ataque de abrevadero que utilizaba vulnerabilidades presentes en macOS para escalar privilegios e instalar una puerta trasera en los equipos afectados para espiarlos.
La vulnerabilidad de día cero (un fallo en la seguridad del software que es desconocido para los usuarios y fabricantes del producto, y que carece de parche para solucionarlo), detectada a finales de agosto por el Grupo de Análisis de Amenazas (TAG) de Google permitía dirigir ataques de tipo abrevadero contra los visitantes de páginas web de Hong Kong, pertenecientes a medios de comunicación y a un grupo político obrero prodemocracia.
Este tipo de ataques se llaman así por su “similitud de un depredador acechando a la presa en un abrevadero”, como detallan desde la web del Instituto Nacional de Ciberseguridad (Incibe). En su forma de operar, los ciberdelincuentes infectan una página web de un tercero para atacar a los visitantes, que suelen presentar un determinado perfil.
Los delincuentes aprovecharon dos iframe (elementos HTML que permiten insertar un elemento HTML dentro de otro elemento HTML principal) localizados en iOS y macOs como expoits —para explotar una vulnerabilidad—, aunque el análisis de TAG se centra en macOS, como se recoge en el blog oficial.
En concreto, el ataque “presentó una vulnerabilidad de escalada de privilegios XNU sin parchear en macOS Catalina, lo que llevó a la instalación de una puerta trasera no informada previamente”, señaló Erye Hernández, de TAG. A partir de dicha puerta trasera, el atacante podía acceder a distintos elementos de la víctima, como la huella dactilar, las capturas de pantalla, la descarga y carga de archivos, la grabación de audio, la ejecución de comandos y el registro de teclas.
Tras el análisis realizado, Hernández señaló que el atacante podría ser “un grupo con buenos recursos, probablemente respaldado por el Estado, con acceso a su propio equipo de ingeniería de software basado en la calidad del código de carga útil”.
La compañía tecnológica se puso en contacto con Apple tras el hallazgo de la vulnerabilidad de día cero, que registró como CVE-2021-30869 y para la que lanzó una actualización de seguridad para macOs Catalina un mes después de su descubrimiento.