La campagne de piratage de l’iPhone à l’aide du logiciel MDM est plus étendue que précédemment connue

Il a été constaté que la campagne ciblant les malwares mobiles, ciblée sur l’Inde , qui a été dévoilée pour la première fois il y a deux semaines , fait partie d’une campagne plus vaste ciblant plusieurs plateformes, y compris Windows et éventuellement Android.

Comme indiqué dans notre article précédent , plus tôt ce mois-ci, des chercheurs de la division des menaces de Talos ont découvert un groupe de pirates indiens abusant du service de gestion des appareils mobiles (MDM) pour pirater et espionner quelques utilisateurs ciblés d’iPhone en Inde.

Fonctionnant depuis août 2015, les attaquants ont été trouvés abusant du service MDM pour installer à distance des versions malveillantes d’applications légitimes, y compris Telegram, WhatsApp et PrayTime, sur des iPhones ciblés.

Ces applications modifiées ont été conçues pour espionner secrètement les utilisateurs d’iOS et voler leur position en temps réel, leurs SMS, leurs contacts, leurs photos et leurs messages privés à partir d’applications de chat tierces.

Au cours de leur enquête en cours, les chercheurs de Talos ont identifié une nouvelle infrastructure MDM et plusieurs binaires malveillants - conçus pour cibler les victimes exécutant des systèmes d’exploitation Microsoft Windows - hébergés sur la même infrastructure utilisée dans les campagnes précédentes.

  • Ios-update-whatsapp [.] Com (nouveau)
  • Wpitcher [.] Com
  • Ios-certificate-update.com

"Nous savons que le MDM et les services Windows fonctionnaient sur le même serveur C2 en mai 2018", ont déclaré des chercheurs dans un article publié aujourd’hui.

« Certains serveurs C2 sont encore opérationnels à ce jour, la configuration d’Apache est très spécifique et correspond parfaitement à la configuration Apache des applications IPA malveillantes.

Connexions possibles avec "Bahamut Hacking Group"

En outre, les chercheurs ont également trouvé des similitudes potentielles qui relient cette campagne à un ancien groupe de piratage, appelé « Bahamut », un acteur de la menace avancée qui ciblait auparavant les appareils Android utilisant la même technique MDM que celle utilisée dans la dernière campagne de logiciels malveillants iOS.

L’infrastructure MDM nouvellement identifiée, qui a été créée en janvier 2018 et utilisée de janvier à mars de cette année, ciblait deux appareils indiens et l’un situé au Qatar avec un numéro de téléphone britannique.

Selon les chercheurs, Bahamut a également ciblé des individus similaires basés au Qatar au cours de leur campagne de malware Android, comme détaillé par Bellingcat dans un article de blog .

"Bahamut a partagé un nom de domaine avec l’une des applications iOS malveillantes mentionnées dans notre post précédent", ont déclaré les chercheurs.
« La nouvelle plate-forme MDM que nous avons identifiée a une victimologie similaire avec les cibles du Moyen-Orient, à savoir le Qatar, utilisant un numéro de téléphone mobile britannique issu de LycaMobile, et Bahamut ciblant des individus similaires basés au Qatar pendant leur campagne.

En plus de distribuer des applications Telegram et WhatsApp modifiées avec des fonctionnalités malveillantes, le serveur nouvellement identifié distribue également des versions modifiées du navigateur Safari et de l’application de chat vidéo IMO pour voler plus d’informations personnelles sur les victimes.

Les attaquants utilisant un navigateur Safari malveillant pour dérober des informations d’identification de connexion

Selon les chercheurs, le navigateur Safari malveillant a été préconfiguré pour exfiltrer automatiquement le nom d’utilisateur et le mot de passe des utilisateurs pour une variété d’autres services Web, Yahoo, Rediff, Amazon, Google, Reddit, Baidu, ProtonMail, Zoho, Tutanota et plus.

"Le logiciel malveillant surveille en permanence une page Web, en recherchant les champs du formulaire HTML qui contiennent le nom d’utilisateur et le mot de passe lorsque l’utilisateur les tape pour voler des informations d’identification.Les noms des champs HTML inspectés sont intégrés dans l’application. les chercheurs ont dit.

Le navigateur malveillant contient trois plugins malveillants - Ajouter un signet, Ajouter aux favoris et Ajouter à la liste de lecture - qui, tout comme les autres applications, envoient des données volées à un serveur distant contrôlé par un attaquant.

À l’heure actuelle, on ne sait pas qui est derrière la campagne, qui a été ciblé dans la campagne, et quels ont été les motifs de l’attaque, mais les éléments techniques suggèrent que les attaquants opèrent depuis l’Inde et sont bien financés.

Les chercheurs ont déclaré que ceux qui sont infectés par ce type de logiciels malveillants doivent enregistrer leurs appareils, ce qui signifie qu’ils doivent être constamment à l’affût pour éviter toute inscription accidentelle.

Le meilleur moyen d’éviter d’être victime de telles attaques est de toujours télécharger des applications depuis l’App Store officiel.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 25 |

Actu en image