استخدمت عملية Poisoned News روابط الأخبار المحلية لضرب مستخدمي iPhone ببرامج تجسس
يكشف بحث نشرته شركتا الأمن تريند مايكرو وكاسبيرسكي عن تفاصيل حملة سقي مستهدفة مستخدمي iPhone.
استخدمت الحملة ، التي أطلق عليها اسم عملية السموم ، روابط خبيثة على مواقع الأخبار المحلية لتثبيت برنامج LightSpy الخبيث. يستغل المتسللون نقاط الضعف في iOS لتثبيت برامج التجسس التي يمكنها جمع كميات هائلة من المعلومات ويمكن أيضًا استخدامها للتحكم عن بعد في أحد الأجهزة.
أنظر أيضا:
تم اكتشاف الحملة في منتصف يناير ، ويبدو أنها مصممة لاستهداف مستخدمي iPhone في هونغ كونغ. أوقع الجناة الضحايا من خلال نشر روابط في مختلف المنتديات التي يزعم أنها قصص إخبارية محلية. في الواقع ، تم استخدام إطار iframe مخفي لتحميل كود ضار وتثبيت LightSpy.
في مقال حول الاكتشاف ، يقول Trend Micro:
متغير البرامج الضارة عبارة عن باب خلفي معياري يسمح لممثل التهديد بتنفيذ أمر shell عن بُعد ومعالجة الملفات على الجهاز المتأثر. هذا سيسمح للمهاجم بالتجسس على جهاز المستخدم ، بالإضافة إلى السيطرة الكاملة عليه. يحتوي على وحدات مختلفة لاستخراج البيانات من الجهاز المصاب ، والتي تشمل:
- سجل WiFi متصل
- جهات الاتصال
- موقع GPS
- معلومات الأجهزة
- سلسلة مفاتيح iOS
- سجل المكالمات الهاتفية
- سجل متصفح Safari و Chrome
- رسائل SMS
يتم أيضًا استخراج المعلومات حول بيئة شبكة المستخدم من الجهاز المستهدف:
- شبكة WiFi متاحة
- عناوين IP للشبكة المحلية
تطبيقات Messenger مخصصة أيضًا لاستخراج البيانات. من بين التطبيقات المستهدفة على وجه التحديد:
يقول كاسبيرسكي إنه يطلق على مجموعة APT (التهديد المستمر المتقدم) "TwoSail Junk" هذه "مؤقتًا". يُعتقد أن الحملة مرتبطة بنشاط سابق ، ويوجد متغير برامج ضارة ذات صلة بنظام Android يرجع تاريخه إلى نهاية العام الماضي. تقول شركة الأمن أن "إطار عمل LightSpy وبنيته التحتية هما مثال مثير للاهتمام لنهج رشيق لتطوير ونشر إطار المراقبة".
توجد الثغرات القابلة للاستغلال في iOS 12.1 و 12.2 ، والتحديث ببساطة إلى إصدار أحدث هو كل ما يلزم لحماية iPhone الخاص بك.
حقوق الصورة: بريماكوف / شاترستوك