Lỗ hổng Zero-day mới vá của Apple và Chrome đang bị khai thác để phát tán spyware 

Các nhà nghiên cứu của Citizen Lab và TAG (Google) cho biết, ba lỗ hổng 0-day mà Apple vừa vá đã bị khai thác để cài đặt phần mềm gián điệp Cytrox Predator. 

Apple mới đây phát hành bản cập nhật an ninh khẩn cấp để giải quyết ba lỗ hổng zero-day mới (CVE-2023-41993, CVE-2023-41991, CVE-2023-41992). Theo các nhà nghiên cứu, hacker đã khai thác các lỗi này để nhắm mục tiêu vào cựu nghị sĩ Ai Cập Ahmed Eltantawy sau khi ông tuyên bố tranh cử tổng thống năm 2024. Hacker cố gắng xâm nhập thiết bị của Eltantawy trong khoảng thời gian từ tháng 5 đến tháng 9/2023, bằng cách gửi tin nhắn SMS và WhatsApp giả mạo. 

Theo báo cáo của Citizen Lab, giai đoạn tháng 8 và tháng 9/2023, kết nối di động Vodafone Egypt của Eltantawy liên tục bị nhắm mục tiêu thông qua việc chèn mạng. Khi Eltantawy truy cập một số trang web nhất định không sử dụng HTTPS, một thiết bị được cài đặt ở biên giới mạng của Vodafone Ai Cập đã tự động chuyển hướng ông đến một trang web độc hại để lây nhiễm spyware Predator vào điện thoại. 

Các nhà nghiên cứu của Google TAG nêu chi tiết chuỗi khai thác iOS mà những kẻ tấn công thực hiện sau khi chuyển hướng mục tiêu đến các trang web độc hại. Đầu tiên, lỗ hổng CVE-2023-41993 bị khai thác để thực thi mã từ xa ban đầu (RCE) trong trình duyệt Safari, sau đó lỗ hổng CVE-2023-41991 bị khai thác để vượt qua xác thực chữ ký. Cuối cùng, CVE-2023-41992 sẽ cho phép leo thang đặc quyền lên Kernel. 

Về chuỗi khai thác để cài đặt Predator trên các thiết bị Android ở Ai Cập, hacker thực hiện theo hai cách khác nhau: chèn MITM và thông qua các liên kết một lần được gửi trực tiếp đến mục tiêu. Lỗ hổng bị khai thác là lỗi thực thi mã từ xa của trình kết xuất ban đầu dành cho Chrome CVE-2023-4762. 

Citizen Lab cho rằng các cuộc tấn công liên quan tới chính phủ Ai Cập. Phần mềm spyware được phát tán thông qua mạng lưới từ một thiết bị đặt tại Ai Cập. 

Nguồn: Security Affairs