В начале июля 2018 года специалисты Cisco Talos обнаружили высокотаргетированную вредоносную кампанию, направленную против 13 пользователей iPhone в Индии. Для заражения устройств своих жертв малварью злоумышленники использовали MDM-решения.
Сообщалось, что данная кампания затронула пользователей iOS от 10.2.1 до 11.2.6 и длилась с 2015 года. После того как устройства жертв «привязывались» к MDM-серверу атакующих, те начинали понемногу подменять легитимные приложения вредоносными версиями. Исследователи обнаружили четыре таких подмены: WhatsApp, Telegram, PrayTime и MyApp. Так как для внесения изменений в приложения преступники использовали sideloading-технику BOptions, функциональность приложений не страдала от внесенных в код изменений. С точки зрения пользователей, они работали как должно и не вызывали подозрений. На самом деле, вредоносные версии следили за своими жертвами, извлекая и передавая преступникам различную информацию о пострадавших.
Теперь аналитики Cisco Talos сообщили, что в ходе продолжающегося расследования им удалось обнаружить новые элементы MDM-инфраструктура преступников и новые вредоносные бинарники, предназначенные для атак на пользователей Microsoft Windows. Частично во время этой кампании злоумышленники использовали ту же инфраструктуру:
- Ios-update-whatsapp[.]com (новое)
- Wpitcher[.]com
- Ios-certificate-update.com
Эксперты пишут, что в мае 2018 года что MDM и сервисы Windows работали на одном и том же сервере, а некоторые C&C-серверы злоумышленников остаются в строю до сих пор. Как оказалось, помимо вредоносных версий Telegram и WhatsApp атакующие распространяют вредоносный браузер Safari и VoIP-приложение IMO.
Кроме того, специалистам удалось обнаружить возможную связь этих атак со старой хакерской группировкой Bahamut, ранее использовавшей похожие MDM-атаки для заражения устройств на Android.
Так, найденная аналитиками Talos MDM-инфраструктура была создана в январе 2018 года и активно эксплуатировалась с января по март. За это время целями атакующих стали два устройства, находящихся в Индии, и еще одно устройство с британским телефонным номером в Катаре. Исследователи ссылаются на статью в Bellingcat и напоминают, что группировка Bahamut использовала очень похожую тактику для атак на Android-устройства в Катаре. К тому же, с текущей вредоносной кампанией Bahamut связывает общее с одним из iOS приложений доменное имя.
Вышеупомянутые вредоносные версии Safari и VoIP-приложения IMO использовались для хищения личных данных жертв. Так, браузер был сконфигурирован таким образом, чтобы автоматически извлекать имена пользователей и пароли от различных сервисов, включая Yahoo, Rediff, Amazon, Google, Reddit, Baidu, ProtonMail, Zoho, Tutanota и так далее. Кроме того, браузер оснащался тремя вредоносными плагинами (Add Bookmark, Add To Favourites и Add to Reading List), которые переправляли все собранные данные на удаленный сервер злоумышленников.
Теперь не совсем ясно, кто именно стоит за данной кампанией и кто именно является целью хакеров, но исследователи по-прежнему уверены, что злоумышленники действуют из Индии и явно имеют хорошее финансирование.