Luka dnia zerowego w silniku WebKit pozwalała na pozyskiwanie danych użytkowników iOS‑a

Exploit znaleziony w silniku WebKit przeglądarki Safari umożliwiał hakerom pozyskiwanie danych logowania z urządzeń z systemem iOS. Informacje wskazują, że z luki korzystała grupa hakerów powiązana z rosyjskim wywiadem.

Grupie Google Threat Analysis Group udało się wykryć cztery podatności, które były wykorzystywane przez oszustów. Dwie z nich dotyczyły przeglądarki Chrome, jedna Internet Explorera, zaś czwartą odnalezioną w silniku WebKit.

Przedstawione na blogu Google luki zostały opisane jako CVE-2021-21166 i CVE-2021-30551w przypadku Chrome’a, CVE-2021-33742 w Internet Explorerze oraz CVE-2021-1879 w WebKicie. W przypadku sprzętu Apple, problem dotyczył urządzeń z systemami iOS 12.5.2, iOS 14.4.2 i iPadOS 14.4.2 i watchOS 7.3.3.

Opisywana dla WebKita luka została wykryta już 19 marca bieżącego roku i, jak podkreśla Google, nie jest powiązana z pozostałymi trzema odnalezionymi przez zespół problemami. Zespół przekazał także, że w jej przypadku hakerzy nie musieli wykorzystywać wielu podatności na raz by przeprowadzić skuteczny atak.

Za pomocą podatności CVE-2021-1879, hakerzy przeprowadzali kampanie mające na celu pozyskanie danych użytkowników iOS-a. Oszuści wykorzystywali wiadomości na serwisie LinkedIn do rozsyłania spreparowanych wiadomości ze złośliwymi linkami. Ich celem byli głównie urzędnicy państwowi z krajów Europy Zachodniej.

Jeżeli osoba posiadająca urządzenie z systemem iOS zdecydowała się kliknąć w łącze, zostawała przekierowana na domenę kontrolowaną przez hakerów. Z niej system automatycznie pobierał szkodliwe oprogramowanie, które dalej pozwalało oszustom na pozyskanie danych właściciela sprzętu. 

Kampania skierowana na urządzenia z systemem iOS zbiegła się z kampaniami tego samego podmiotu skierowanymi do użytkowników urządzeń z systemem Windows w celu dostarczenia oprogramowania Cobalt Strike. Działało ono podobnie, jak w powyżej opisanym przypadku.