这是一场旨在利用 iOS 后门感染香港用户的运动, 该 iOS 后门被命名为 lightSpy, 可使攻击者接管设备.
2 月 19 日, 趋势科技的安全研究人员发现了一个针对 iOS 用户的水坑攻击. 其 URL 指向一个恶意网站, 该网站具有指向不同站点的三个 iframe. 其中一个 iframe 可见, 并指向合法的新闻网站, 另一个 iframe 用于网站分析, 而第三个则指向托管 iOS 漏洞利用主要脚本的网站.
带有三个 iframe 的恶意网站的 html 代码
攻击者通过在香港流行的论坛上发布诱饵式的头条新闻以传播恶意链接, 这些链接会将用户引导到真实的新闻网站, 但这些网站因为被注入了隐藏的 iframe, 用户访问后会加载并运行恶意软件.
此外, 还发现了第二种水坑攻击: 复制合法站点并注入 iframe. 该攻击似乎已于 1 月 2 日开始, 持续到 3 月 20 日. 但目前无法确定到这些网站的链接的分发位置.
这些攻击利用了影响 iOS 12.1 和 12.2 设备的安全漏洞, 以整个网站的用户为目标. 通过支持外壳命令和文件操作, 恶意软件使攻击者可以监视用户并完全控制受感染的设备. 本质上是模块化的 lightSpy 允许对连接的 Wi-Fi 历史记录, 联系人, GPS 位置, 硬件信, iOS 钥匙串, 电话历史记录, Safari 和 Chrome 浏览器历史记录, SMS 消息以及本地网络 IP 地址进行过滤.
此外, 该恶意软件专门针对 Messenger 应用程序, 例如 Telegram,QQ 和微信. 2019 年, 就有过针对 Android 用户的类似攻击, 并通过与香港相关的公共电报渠道发布了恶意 APK, 名为 dmsSpy 的 Android 恶意软件会泄露设备信息, 联系人和 SMS 消息.
这些攻击行动的设计和功能表明, 该活动并非针对受害者, 而是旨在更多地利用移动设备进行后门和监视. 根据其分发方式将此活动命名为 "中毒新闻行动"(Operation Poisoned News).
参考: Operation Poisoned News: Hong Kong Users Targeted With Mobile Malware via Local News Links
来源: http://www.tuicool.com/articles/Nz2eqa7