expertos de Cisco Talos advirtió a los usuarios de que los atacantes están utilizando activamente CheckM8 jailbreak.
UNAt finales de septiembre 2019, un investigador de seguridad de la información conocida como axi0mX publicado un exploit, adecuado para el jailbreak de prácticamente cualquier dispositivo de Apple con A5 a A11 fichas lanzados entre 2011 y 2017.El desarrollo fue llamado CheckM8 y es muy significativa, ya que aprovecha una vulnerabilidad de la ROM de arranque, y el propio autor describe su hazaña como “permanente e irrecuperable”.
Ahora, expertos de Cisco Talos han advertido que los atacantes no han pasado por alto este evento y ya están parasitando en CheckM8.
“Algunos usuarios quieren hacer jailbreak a sus dispositivos, ya que les permite llevar a cabo una gran cantidad de acciones adicionales en sus dispositivos que Apple ha bloqueado. Esto puede ser tareas simples como sshing (el acceso remoto) el dispositivo iOS, cambiar los iconos y temas en el dispositivo iOS, y también para el uso ilegítimo como el software y juegos piratas”, - Escribir investigadores Cisco Talos.
Los investigadores descubrieron el sitio checkrain[.]con, que imita el recurso checkra1n[.]con, en el que un grupo de entusiastas de la seguridad de la información (incluyendo axi0mX propio) está prevista la publicación de la primera herramienta de jailbreak fácil de usar basado en CheckM8. Aunque los investigadores aún no han lanzado su herramienta, los estafadores ya están tomando ventaja de la situación.
El sitio falso se utiliza para distribuir el .mobileconfig archivo de configuración. Cuando se instala en el dispositivo de la víctima, este archivo se agrega un acceso directo a la pantalla del usuario. Después de hacer clic en el acceso directo, un navegador sin cabeza (navegador sin elementos de la interfaz de usuario) es lanzado, que carga la página desde el sitio falso, pretendiendo ser una aplicación nativa.
Esta página enmascarado utiliza JavaScript y CSS animaciones para simular el proceso de jailbreaking un dispositivo. Cuando termina la animación, el sitio le pide al usuario que instale el juego y llegar al octavo nivel en el que en una semana, supuestamente para completar el proceso de jailbreak y desbloquear el dispositivo.
leer también: Se aprovechó una vulnerabilidad 0-day iTunes para difundir ransomware
Con esta “leyenda,”Las víctimas pueden ser ofrecidos a instalar varios juegos diferentes, y todos ellos son aplicaciones legítimas en realidad alojados en la App Store de iOS. Es decir, este esquema fraudulento no se utiliza para distribuir malvari, sino que ayuda a ganar dinero tanto para los operadores del sitio falso y para sus socios que desarrollan estos juegos y compran tales “publicidad” para ellos mismos.
Los investigadores señalan que para un usuario más o menos educados técnicamente, todo esto se verá como un completo disparate, pero por lo general los estafadores se aprovechan de los usuarios que no tienen conocimientos técnicos.
Las recomendaciones de Cisco Talos
Este sitio web malicioso simplemente conduce a fraude de clics. Pero la misma técnica podría ser utilizada para acciones maliciosas y más críticos. En vez de una “clip web” perfil, los atacantes podrían implantar su propia inscripción MDM. Hemos descubierto previamente iOS maliciosos campañas MDM aquí, aquí y aquí. Es muy recomendable no instalar un perfil desconocido del Internet.
Talos recomendar los siguientes métodos para verificar si su teléfono dispone de perfiles adicionales o está inscrito en una plataforma MDM:
- Los usuarios pueden ver las restricciones establecidas por los perfiles de MDM en Ajustes > General > perfiles & Gestión de dispositivos > [configuración MDM] > restricciones
- Los usuarios también pueden comprobar las aplicaciones de haber instalado un perfil de MDM en su dispositivo en Ajustes > General > perfiles & Gestión de dispositivos > [configuración MDM] > aplicaciones.
