Шпион QuaDream атакует владельцев iPhone через приглашения в календаре

Шпион QuaDream атакует владельцев iPhone через приглашения в календаре

Шпион QuaDream атакует владельцев iPhone через приглашения в календаре

Специалисты компаний Microsoft и Citizen Lab выявили активность коммерческого шпионского софта, который был разработан израильской организацией QuaDream. Этот шпион использовался в атаках на пользователей iPhone и задействовал 0-click эксплойт ENDOFDAYS.

Уязвимость нулевого дня, которую взяли в оборот операторы шпионской программы, затрагивает версии iOS с 1.4 по 14.4.2. Как объясняют в Citizen Lab, злоумышленники использовали «невидимые приглашения в календаре iCloud».

Здесь атакующим помог интересный трюк: если отправить приглашения с просроченной датой, они добавляются в календарь пользователя автоматически, при этом не требуют подтверждения и не выводят никаких уведомлений.

Другими словами, эксплойт ENDOFDAYS отрабатывал без какого-либо взаимодействия с целевым пользователем и последний не замечал, что на его девайс устанавливают шпионский софт. В отчёте Citizen Lab исследователи пишут:

«Как минимум пять гражданских из Северной Америки, Центральной Азии, Юго-Восточной Азии и Европы пострадали от шпиона и эксплойта QuaDream. Среди них был журналисты, оппозиционеры и сотрудники НКО. На данный момент не можем перечислить жертв поимённо».

К слову, Microsoft называет упомянутую шпионскую программу KingsPawn. Вредонос может удалять свою копию из системы и чистить следы присутствия на iPhone жертвы. Помимо этого, зловред располагает следующими функциональными возможностями:

  • Записывает аудио телефонных разговоров.
  • Записывает аудио окружения через встроенный микрофон.
  • Делает снимки как с фронтальной, так и с основной камеры смартфона.
  • Извлекает и удаляет объекты из связки ключей мобильного устройства.
  • Отправляет запросы к БД SQL.
  • Удаляет следы, которые могут оставаться после эксплойта.
  • Отслеживает геолокацию девайса.
  • Может искать файлы определённых типов.
  • Перехватывает фреймворк Anisette и системный вызов gettimeofday для генерации кодов, которые могут использоваться для входа в iCloud.

Психологический тест с сюрпризом: хакеры атакуют госсектор через BusySnake

Психологический тест в письме может оказаться не заботой о ментальном здоровье, а входным билетом для стилера. Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, нацеленную на государственный и электроэнергетический секторы России, Казахстана и Бразилии.

По данным исследователей, за атаками может стоять ранее не упоминавшаяся группировка Armored Likho.

Злоумышленники используют новый стилер BusySnake, который крадет данные с зараженных Windows-устройств, делает скриншоты, вытаскивает пароли из браузеров и отправляет конфиденциальные файлы на командный сервер.

Основной способ заражения — фишинговые письма с архивами. Легенды меняются: где-то жертве предлагают пройти психологический тест, где-то — оформить заявку на гуманитарную помощь. Названия архивов подгоняются под тему письма, чтобы всё выглядело убедительнее.

 

После запуска содержимого на экране может открыться приложение-приманка с опросом или документ, соответствующий легенде. Пока пользователь смотрит на психологию или помощь, в фоне запускается многоэтапная цепочка загрузки, которая приводит к установке BusySnake.

Сам стилер написан на Python и уже существует в нескольких версиях. Он умеет красть данные из буфера обмена, перехватывать пароли из Firefox и Chromium-браузеров, похищать cookie через отдельный модуль и собирать файлы с устройства. В коде также предусмотрены механизмы, которые мешают обнаружению и усложняют анализ.

Любопытная деталь: загрузчики, через которые BusySnake попадает на устройство, судя по анализу кода, могли быть сгенерированы с помощью ИИ. Исследователи отмечают характерные избыточные комментарии и блоки кода.

В «Лаборатории Касперского» считают, что Armored Likho совмещает кибершпионаж против организаций с финансово мотивированными атаками на частных пользователей. Группировка развивает инструменты и встраивает в них функции, которые раньше использовала отдельно.

RSS: Новости на портале Anti-Malware.ru