В конце сентября 2019 года ИБ-исследователь, известный под псевдонимом axi0mX, опубликовал в открытом доступе эксплоит, подходящий для джейлбрейка практически любых устройств Apple с чипами от A5 до A11, выпущенными между 2011 и 2017 годами. Разработка получила название Checkm8 и является очень знаковой, так как использует уязвимость в bootrom, а сам автор описывает свой эксплоит как «перманентный и неисправляемый».

Теперь эксперты Cisco Talos предупредили, что злоумышленники не оставили это событие без внимания и уже паразитируют на Checkm8 как могут.

Исследователи обнаружили сайт checkrain[.]com, в точности имитирующий ресурс checkra1n[.]com, на котором группа ИБ-энтузастов (включая самого axi0mX) планирует опубликовать первый удобный для пользователей инструмент для джейлбрейка на основе Checkm8. И хотя исследователи еще не выпустили свой инструмент, мошенники уже пользуются ситуацией.

Фейковый сайт используется для распространения файла конфигурации .mobileconfig. При установке на устройство жертвы этот файл добавляет ярлык на экран пользователя. После  нажатия на ярлык запускается headless-браузер (без элементов пользовательского интерфейса), который загружает страницу с сайта мошенников, притворяясь при этом нативным приложением.

Эта замаскированная страница использует анимацию JavaScript и CSS для имитации процесса джейлбрейка устройства. Когда анимация заканчивается, сайт просит пользователя установить игру и за неделю достичь в ней восьмого уровня якобы для завершения процесса джейлбрейка и разблокировки девайса.

С помощью этой «легенды» жертвами могут предложить установить несколько разных игр, и все они являются легитимными приложениями, на самом деле размещенными в iOS App Store. То есть данная мошенническая схема используется не для распространения малвари, но помогает зарабатывать как самим операторам фейкового сайта, так и их партнерам, которые разрабатывают эти игры и покупают себе такую «рекламу».

Исследователи отмечают, что для мало-мальски подкованного пользователя все это будет выглядеть как полная бессмыслица, однако мошенники обычно охотятся на пользователей, не обладающих техническими знаниями.

Оставить мнение