builderall


Investigadores de seguridad del Citizen Lab y del Grupo de Análisis de Amenazas (TAG) de Google han revelado hoy que tres zero-days parcheados por Apple el jueves fueron utilizados como parte de una cadena de exploits para instalar el programa espía Predator de Cytrox.


Entre mayo y septiembre de 2023, los atacantes aprovecharon los fallos (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) en ataques que utilizaban mensajes SMS y WhatsApp señuelo para atacar al ex diputado egipcio Ahmed Eltantawy tras anunciar sus planes de presentarse a las elecciones presidenciales egipcias de 2024.


"En agosto y septiembre de 2023, la conexión móvil de Vodafone Egipto de Eltantawy fue seleccionada persistentemente para ser atacada mediante inyección de red", explicó Citizen Lab.


"Cuando Eltantawy visitaba ciertos sitios web que no utilizaban HTTPS, un dispositivo instalado en el borde de la red de Vodafone Egipto lo redirigía automáticamente a un sitio web malicioso para infectar su teléfono con el spyware Predator de Cytrox".


En los dispositivos iOS, el exploit de día cero de los atacantes utilizó CVE-2023-41993 para la ejecución remota de código (RCE) inicial en Safari utilizando páginas web maliciosamente diseñadas, el bug CVE-2023-41991 para eludir la validación de firmas y CVE-2023-41992 para la escalada de privilegios del kernel.


La cadena de exploits se activaba automáticamente tras la redirección, desplegando y ejecutando un binario malicioso diseñado para elegir si el implante de spyware debía instalarse en el dispositivo comprometido.


Google TAG también observó que los atacantes utilizaban una cadena de exploits distinta para introducir el spyware Predator en dispositivos Android en Egipto, aprovechando CVE-2023-4762 -un fallo de Chrome parcheado el 5 de septiembre- como día cero para conseguir la ejecución remota de código.


"Este fallo ya había sido notificado por separado al Programa de Recompensas por Vulnerabilidades de Chrome por un investigador de seguridad y fue parcheado el 5 de septiembre. Creemos que Intellexa también utilizó anteriormente esta vulnerabilidad como un día cero", declaró Maddie Stone, de Google TAG.


El equipo de ingeniería y arquitectura de seguridad de Apple ha confirmado hoy que el modo de bloqueo de iOS habría bloqueado el ataque.


Citizen Lab instó a todos los usuarios de Apple en situación de riesgo a instalar las actualizaciones de seguridad de emergencia de Apple y activar el modo de bloqueo para frustrar posibles ataques que exploten esta cadena de exploits.


"Dado que Egipto es un cliente conocido del programa espía Predator de Cytrox, y que el programa espía se envió a través de inyección de red desde un dispositivo ubicado físicamente en Egipto, atribuimos el ataque de inyección de red al gobierno egipcio con gran confianza", añadió Citizen Lab.


Los investigadores de seguridad de Citizen Lab desvelaron otros dos zero-days (CVE-2023-41061 y CVE-2023-41064) -corregidos por Apple en actualizaciones de seguridad de emergencia a principios de este mes- utilizados como parte de otra cadena de exploits zero-click (apodada BLASTPASS) para infectar iPhones totalmente parcheados con el spyware Pegasus de NSO Group.


16 zero-days de Apple explotados en ataques este año


Apple solucionó el jueves los tres zero-days en iOS 16.7 y 17.0.1 solucionando un problema de validación de certificados y mediante comprobaciones mejoradas.


La lista completa de dispositivos afectados incluye una amplia gama de modelos de dispositivos más antiguos y más nuevos:



Desde enero de 2023, Apple ha abordado un total de 16 zero-days explotados en ataques dirigidos a sus clientes, incluyendo:



Fuente: bleepingcomputer.com