O spyware chamado Predator infectou iPhones e dispositivos Android usando vulnerabilidades de dia zero no iOS e no Chrome em ataques man-in-the-middle (MiTM), de acordo com o Grupo de Análise de Ameaças do Google.
Ataque man-in-the-middle — ou adversary-in-the-middle (AiTM), como também são conhecidos — é uma forma de ciberataque em que o criminoso age como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo.
Na semana passada, a Apple informou os clientes sobre a disponibilidade de patches para três dias zero rastreados como CVE-2023-41991 (bypass de verificação de assinatura), CVE-2023-41992 (escalonamento de privilégios locais) e CVE-2023-41993 (execução de código arbitrário por meio de página maliciosa).
A Apple corrigiu as vulnerabilidades no iOS, macOS e outros softwares, mas a gigante da tecnologia observou que só está ciente da exploração destinada a dispositivos que executam versões do iOS anteriores à 16.7.
O grupo Citizen Lab, da Universidade de Toronto, e o Grupo de Análise de Ameaças do Google, responsáveis por relatar as vulnerabilidades à Apple, revelaram na sexta-feira passada, 22, que as falhas foram usadas em um ataque direcionado a Ahmed Altantawy, um importante político da oposição no Egito.
O que é interessante sobre o exploit é que ele foi entregue por meio de um ataque MitM, que normalmente são lançados por operadores de ameaças com muitos recursos, como grupos patrocinados por Estados-nação.
Nesse caso específico, o Citizen Lar explicou que, quando Altantawy visitava certos sites por meio da rede móvel da Vodafone Egito, ele era redirecionado para um site criado para servir o spyware Predator, que foi atribuído a duas entidades relacionadas chamadas Cytrox e Intellexa. A Cytrox é conhecida por seus implantes em iPhone de última geração.
O legislador egípcio foi redirecionado para os sites que servem o spyware apenas ao visitar sites que usavam HTTP em vez de HTTPS. Isso permitiu que o invasor interceptasse o tráfego da vítima e forçasse um redirecionamento para o site espião.
“Embora haja um destaque nas vulnerabilidades de zero clique (bugs que não exigem interação do usuário), essa entrega do MiTM também não exigiu que o usuário abrisse nenhum documento, clicasse em um link específico ou atendesse a chamadas telefônicas”, explicou o Google.
Veja isso
Apple corrige três dias zero explorados para hackear iPhones
Grupo infecta dispositivos Android com clones de apps do YouTube
Não é incomum que regimes totalitários e autoritários conduzam vigilância e manipulação de tráfego no nível do provedor de internet (ISP) usando middleboxes de gerenciamento de tráfego. Nesse caso, disse o Citizen Lab, o atacante usou uma caixa intermediária de injeção, mas a organização não conseguiu determinar se a caixa intermediária estava na rede da Telecom Egypt ou da Vodafone Egypt.
O Google também relatou ter visto uma cadeia de exploração projetada para instalar o spyware Predator em dispositivos Android no Egito. Seus pesquisadores não conseguiram identificar todas as vulnerabilidades envolvidas nessa cadeia, mas confirmaram que ela aproveitou o CVE-2023-4762 para execução remota de código.
O CVE-2023-4762 é uma vulnerabilidade do Chrome que foi corrigida pelo Google com uma atualização lançada no início deste mês. Na época, a empresa não estava ciente da exploração, mas acredita que a vulnerabilidade foi explorada como um dia zero antes do lançamento da correção.