Истина где-то ниже
Сентябрь 10, 2018

Новые детали целевой атаки Bahamut на пользователей iPhone

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Специалисты Talos Intelligence продолжают исследование вредоносной кампании, нацеленной на владельцев мобильных устройств под управлением iOS. Экспертам ИБ-подразделения Cisco удалось выяснить, каким образом злоумышленники скрывают легитимные приложения и подменяют их фальшивыми программами, нацеленными на похищение данных. Как сообщают аналитики, для своих целей киберпреступники использовали профиль с ограничением по возрасту, загруженный с подложного MDM-сервера.

В рамках кампании, выявленной Talos, мошенники устанавливали на скомпрометированные устройства поддельные варианты мессенджеров Telegram, WhatsApp и IMO, а также фальшивый браузер Safari. Атака, которую приписывают хакерской группировке Bahamut, носила целевой характер и была направлена на слежку и похищение информации с телефонов нескольких пользователей в Индии и Катаре.

Как выяснили специалисты, для того чтобы скрыть подлог, злоумышленники создавали на скомпрометированном устройстве пользовательский iOS-профиль с возрастным ограничением на использование определенных программ детьми до 9 лет. Загрузка такого конфигурационного файла с MDM-сервера является не результатом эксплуатации уязвимости, а легитимным механизмом работы с телефоном. Злоумышленники использовали методы социальной инженерии, чтобы ввести жертву в заблуждение и заставить подключиться к принадлежащему им скомпрометированному ресурсу.

Мессенджеры WhatsApp и Telegram предназначены для подписчиков старше 12 и 17 лет соответственно, поэтому после активации нового режима они исчезали из списка доступных приложений. Легитимные программы оставались на телефоне, однако жертва видела на экране лишь их вредоносные копии. Как отмечают исследователи, скрытые программы отображались в списке установленных приложений, но пользователь не имел возможности запускать их.

Недавно другая группа ИБ-специалистов выяснила, что если подменить XML-манифест, который получают устройства Apple при первом запуске, то можно перенаправить их запросы на фальшивый MDM-сервер. В результате атаки «человек посередине» скомпрометированные компьютеры на этапе конфигурирования могут получить набор вредоносных программ вместо легитимных приложений.

Источник: https://threatpost.ru/update-on-bahamut-attacks-on-iphone-users/28135/