Użytkownicy komputerów Mac i Windows zostali zainfekowani poprzez aktualizacje oprogramowania, które zostały dostarczone przez zagrożonego dostawcę usług internetowych.

Badacze z Volexity odkryli, że hakerzy wykorzystali naruszenie jednego dostawcy usług internetowych do rozprzestrzeniania złośliwego oprogramowania na użytkowników systemów Windows i Mac.

Co wiadomo

Atak polegał na włamaniu się do routerów lub podobnych urządzeń w infrastrukturze dostawcy usług internetowych. Atakujący wykorzystali następnie kontrolę nad urządzeniami do manipulowania odpowiedziami systemu nazw domen legalnych hostów, dystrybuując aktualizacje do co najmniej sześciu różnych aplikacji Windows i macOS, w tym 5KPlayer, Quick Heal, Rainmeter, Partition Wizard oraz Corel i Sogou.

Ponieważ mechanizmy aktualizacji nie wykorzystywały TLS ani podpisów kryptograficznych, atakujący byli w stanie przekierować użytkowników na swoje serwery, nawet jeśli korzystali oni z publicznych usług DNS, takich jak Google czy Cloudflare.

Hakerzy znani jako StormBamboo wykorzystywali spoofing DNS do dostarczania złośliwych plików, które następnie pobierały dodatkowe złośliwe komponenty. Na przykład aplikacja 5KPlayer pobierała fałszywy plik Youtube.config, który zawierał złośliwe oprogramowanie MACMA dla macOS lub POCOSTICK dla Windows. Programy te dawały hakerom pełny dostęp do urządzeń, w tym do nagrywania ekranu, dźwięku i klawiatury.

Volexity odkryło również, że hakerzy wykorzystali spoofing DNS do przejęcia domeny Microsoft używanej do weryfikacji łączności z Internetem. Pozwoliło im to na przechwytywanie żądań HTTP i kierowanie ich na swoje serwery. Badacze ostrzegają, że takie ataki mogą być kontynuowane i zalecają korzystanie z DNS przez HTTPS lub TLS w celu ochrony.

Eksperci nie powiedzieli, o którym dostawcy usług internetowych mówimy, mówiąc jedynie, że "nie jest to duży dostawca usług internetowych ani taki, o którym prawdopodobnie wiesz".

Źródło: ArsTechnica