Las tres fallas de día cero abordadas por Apple el 21 de septiembre de 2023 se aprovecharon como parte de una cadena de exploits para iPhone en un intento de entregar una cepa de software espía llamada Depredador dirigido al ex miembro del parlamento egipcio Ahmed Eltantawy entre mayo y septiembre de 2023.
«El ataque tuvo lugar después de que Eltantawy hiciera público declaró sus planes postularse para presidente en las elecciones egipcias de 2024″, el Citizen Lab dichoatribuyendo el ataque con gran confianza al gobierno egipcio debido a que es un cliente conocido de la herramienta de espionaje comercial.
Según una investigación conjunta realizada por el laboratorio interdisciplinario canadiense y el Grupo de Análisis de Amenazas (TAG) de Google, la herramienta de vigilancia mercenaria habría sido entregada a través de enlaces enviados por SMS y WhatsApp.
«En agosto y septiembre de 2023, la conexión móvil de Vodafone Egipto de Eltantawy fue seleccionada persistentemente para atacar mediante inyección de red; cuando Eltantawy visitó ciertos sitios web que no utilizaban HTTPS, un dispositivo instalado en el borde de la red de Vodafone Egipto lo redireccionó automáticamente a un sitio web malicioso para infectar su teléfono con el software espía Predator de Cytrox», dijeron los investigadores de Citizen Lab.
La cadena de exploits aprovechó un conjunto de tres vulnerabilidades (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) que podrían permitir a un actor malintencionado eludir la validación de certificados, elevar privilegios y lograr la ejecución remota de código en sitios específicos. dispositivos al procesar un contenido web especialmente diseñado.
Predator, fabricado por una empresa llamada Cytrox, es análogo a Pegasus de NSO Group y permite a sus clientes vigilar objetivos de interés y recopilar datos confidenciales de dispositivos comprometidos. Parte de un consorcio de proveedores de software espía llamado Intellexa Alliance, fue incluido en la lista bloqueada por el gobierno de EE. UU. en julio de 2023 por «permitir campañas de represión y otros abusos de los derechos humanos».
El exploit, alojado en un dominio llamado sec-flare[.]com, se dice que fue entregado después de que Eltantawy fuera redirigido a un sitio web llamado c.betly[.]mediante un sofisticado ataque de inyección de red utilizando Caja intermedia PacketLogic de Sandvine situado en un enlace entre Telecom Egypt y Vodafone Egypt.
«El cuerpo del sitio web de destino incluía dos iframes, el ID ‘if1’ que contenía contenido cebo aparentemente benigno (en este caso un enlace a un archivo APK que no contenía software espía) y el ID ‘if2’ que era un iframe invisible que contenía un enlace de infección Predator. alojado en sec-flare[.]com», dijo el Citizen Lab.
La investigadora de Google TAG, Maddie Stone, lo caracterizó como un caso de un ataque de adversario en el medio (AitM) que aprovecha una visita a un sitio web utilizando HTTP (a diferencia de HTTPS) para interceptar y obligar a la víctima a visitar un sitio web diferente. sitio operado por el actor de amenazas.
«En el caso de esta campaña, si el objetivo iba a cualquier sitio ‘http’, los atacantes inyectaban tráfico para redirigirlos silenciosamente a un sitio Intellexa, c.betly[.]yo», piedra explicado. «Si el usuario era el usuario objetivo esperado, el sitio redirigiría al objetivo al servidor de explotación, sec-flare[.]com.»
Eltantawy recibió tres mensajes SMS en septiembre de 2021, mayo de 2023 y septiembre de 2023 que se hacían pasar por alertas de seguridad de WhatsApp instando a Eltantawy a hacer clic en un enlace para finalizar una sesión de inicio de sesión sospechosa que se originaba en un supuesto dispositivo Windows.
Si bien estos enlaces no coinciden con la huella digital del dominio antes mencionado, la investigación reveló que el software espía Predator se instaló en el dispositivo aproximadamente 2 minutos y 30 segundos después de que Eltantawy leyera el mensaje enviado en septiembre de 2021.
IA versus IA: aprovechar las defensas de la IA contra los riesgos impulsados por la IA
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
También recibió dos mensajes de WhatsApp el 24 de junio de 2023 y el 12 de julio de 2023, en los que un individuo que decía trabajar para la Federación Internacional de Derechos Humanos (FIDH) le solicitaba su opinión sobre un artículo que apuntaba al sitio web sec-flare.[.]com. Los mensajes quedaron sin leer.
Google TAG dijo que también detectó una cadena de exploits que utilizó como arma una falla de ejecución remota de código en el navegador web Chrome (CVE-2023-4762) para entregar Predator en dispositivos Android usando dos métodos: la inyección de AitM y mediante enlaces únicos enviados directamente a el objetivo.
CVE-2023-4762una vulnerabilidad de confusión de tipos en el motor V8, se informó de forma anónima el 16 de agosto de 2023 y parcheado por Google el 5 de septiembre de 2023, aunque el gigante de Internet evalúa que Cytrox/Intellexa pudo haber utilizado esta vulnerabilidad como día cero.
Según una breve descripción en la Base de datos nacional de vulnerabilidades (NVD), CVE-2023-4762 se refiere a una «confusión de tipos en V8 en Google Chrome anterior a 116.0.5845.179 [that] permitió a un atacante remoto ejecutar código arbitrario a través de una página HTML diseñada».
Los últimos hallazgos, además de resaltar el abuso de herramientas de vigilancia dirigidas a la sociedad civil, subrayan los puntos ciegos en el ecosistema de las telecomunicaciones que podrían explotarse para interceptar el tráfico de la red e inyectar malware en los dispositivos de los objetivos.
«Aunque en los últimos años se han logrado grandes avances para ‘cifrar la web’, los usuarios todavía visitan ocasionalmente sitios web sin HTTPS, y una sola visita a un sitio web que no sea HTTPS puede resultar en una infección de software espía», dijo Citizen Lab.
Se recomienda a los usuarios que corren el riesgo de sufrir amenazas de software espía debido a «quiénes son o qué hacen» que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo en iPhones, iPads y Mac para evitar tales riesgos.