Cyberthreat.id - Tiga kelemahan zero-day yang diatasi oleh Apple pada 21 September 2023, dimanfaatkan sebagai bagian dari rantai eksploitasi iPhone dalam upaya menyebarkan jenis spyware yang disebut Predator.

Predator tersebut menargetkan mantan anggota parlemen Mesir Ahmed Eltantawy antara Mei dan September 2023.

“Penargetannya terjadi setelah Eltantawy secara terbuka menyatakan rencananya untuk mencalonkan diri sebagai Presiden pada pemilu Mesir 2024,” kata Citizen Lab sebagaimana ditulis The Hacker News.

Citizen Lab juga mengaitkan serangan tersebut dengan keyakinan tinggi kepada pemerintah Mesir karena mereka dikenal sebagai pelanggan alat mata-mata komersial.

Menurut penyelidikan bersama yang dilakukan laboratorium interdisipliner Kanada dan Grup Analisis Ancaman (TAG) Google, alat pengawasan tentara bayaran dikatakan telah dikirimkan melalui tautan yang dikirim melalui SMS dan WhatsApp.

Pada Agustus dan September 2023, diungkapkan, koneksi seluler Vodafone Egypt milik Eltantawy secara terus-menerus dipilih untuk penargetan melalui injeksi jaringan.

Selanjutnya, “ketika Eltantawy mengunjungi situs web tertentu yang tidak menggunakan HTTPS, perangkat yang dipasang di perbatasan jaringan Vodafone Egypt secara otomatis mengarahkannya ke situs web berbahaya untuk menginfeksi miliknya telepon dengan spyware Predator Cytrox," kata peneliti Citizen Lab.

Rantai eksploitasi memanfaatkan serangkaian tiga kerentanan – CVE-2023-41991, CVE-2023-41992, dan CVE-2023-41993 – yang memungkinkan pelaku kejahatan melewati validasi sertifikat, meningkatkan hak istimewa, dan mencapai eksekusi kode jarak jauh pada target.

Predator, yang dibuat oleh perusahaan bernama Cytrox, serupa dengan Pegasus milik NSO Group, yang memungkinkan pelanggannya mengawasi target yang diinginkan dan mengambil data sensitif dari perangkat yang disusupi.

Sebagai bagian dari konsorsium vendor spyware yang disebut Intellexa Alliance, perusahaan ini masuk dalam daftar yang diblokir oleh pemerintah AS pada Juli 2023 karena "memungkinkan kampanye penindasan dan pelanggaran hak asasi manusia lainnya."

Eksploitasi tersebut, yang dihosting di domain bernama sec-flare[.]com, dikatakan telah dikirimkan setelah Eltantawy dialihkan ke situs web bernama c.betly[.]me melalui serangan injeksi jaringan canggih menggunakan kotak tengah PacketLogic Sandvine yang terletak pada hubungan antara Telecom Egypt dan Vodafone Egypt.

"Badan situs web tujuan menyertakan dua iframe, ID 'if1' yang berisi konten umpan yang tampaknya tidak berbahaya (dalam hal ini tautan ke file APK yang tidak mengandung spyware) dan ID 'if2' yang merupakan iframe tak kasat mata yang berisi tautan infeksi Predator dihosting di sec-flare[.]com," kata Citizen Lab.

Peneliti TAG Google, Maddie Stone, mencirikannya sebagai kasus serangan musuh di tengah (AitM) yang memanfaatkan kunjungan ke situs web menggunakan HTTP (bukan HTTPS) untuk mencegat dan memaksa korban mengunjungi situs lain. situs yang dioperasikan oleh aktor ancaman.

"Dalam kasus kampanye ini, jika target mengunjungi situs 'http' mana pun, penyerang menyuntikkan lalu lintas untuk secara diam-diam mengarahkan mereka ke situs Intellexa, c.betly[.]saya," jelas Stone.

"Jika pengguna tersebut adalah pengguna target yang diharapkan, situs tersebut kemudian akan mengarahkan target ke server eksploitasi, sec-flare[.]com."

Eltantawy menerima tiga pesan SMS pada bulan September 2021, Mei 2023, dan September 2023 yang menyamar sebagai peringatan keamanan dari WhatsApp yang mendesak Eltantawy untuk mengklik tautan untuk menghentikan sesi login mencurigakan yang berasal dari perangkat Windows yang diklaim.

Meskipun tautan ini tidak cocok dengan sidik jari domain yang disebutkan di atas, penyelidikan mengungkapkan bahwa spyware Predator dipasang di perangkat sekitar 2 menit 30 detik setelah Eltantawy membaca pesan yang dikirim pada September 2021.

Ia juga menerima dua pesan WhatsApp pada 24 Juni 2023 dan 12 Juli 2023, di mana seseorang yang mengaku bekerja untuk Federasi Internasional untuk Hak Asasi Manusia (FIDH) meminta pendapatnya mengenai sebuah artikel yang mengarah ke situs web sec-flare. [.]com. Pesan-pesan itu dibiarkan belum dibaca.

Google TAG mengatakan pihaknya juga mendeteksi rantai eksploitasi yang mempersenjatai kelemahan eksekusi kode jarak jauh di browser web Chrome (CVE-2023-4762) untuk mengirimkan Predator ke perangkat Android menggunakan dua metode: injeksi AitM dan melalui tautan satu kali yang dikirim langsung ke sasaran, tujuan.

CVE-2023-4762, kerentanan kebingungan tipe di mesin V8, dilaporkan secara anonim pada 16 Agustus 2023, dan ditambal oleh Google pada 5 September 2023, meskipun raksasa internet itu menilai bahwa Cytrox/Intellexa mungkin telah menggunakan kerentanan ini sebagai nol hari.

Menurut deskripsi singkat di Basis Data Kerentanan Nasional (NVD) NIST, CVE-2023-4762 berkaitan dengan "kebingungan tipe di V8 di Google Chrome sebelum 116.0.5845.179 [yang] memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui halaman HTML yang dibuat ."

Temuan terbaru ini, selain menyoroti penyalahgunaan alat pengawasan yang menargetkan masyarakat sipil, juga menggarisbawahi titik buta dalam ekosistem telekomunikasi yang dapat dieksploitasi untuk mencegat lalu lintas jaringan dan menyuntikkan malware ke perangkat target.

“Meskipun kemajuan besar telah dilakukan dalam beberapa tahun terakhir untuk 'mengenkripsi web', pengguna masih sesekali mengunjungi situs web tanpa HTTPS, dan satu kunjungan situs web non-HTTPS dapat mengakibatkan infeksi spyware,” kata Citizen Lab.

Pengguna yang berisiko terkena ancaman spyware karena "siapa mereka atau apa yang mereka lakukan" disarankan untuk selalu memperbarui perangkat mereka dan mengaktifkan Mode Lockdown di iPhone, iPad, dan Mac untuk mencegah serangan tersebut.[]