Cisco Talos experts gewaarschuwd gebruikers die aanvallers actief gebruikt Checkm8 jailbreak.
EENt eind september 2019, een informatie-security-onderzoeker bekend als axi0mX publiceerde een exploit, geschikt voor jailbreaking van vrijwel elk Apple apparaat met A5 tot A11 chips vrijgegeven tussen 2011 En 2017.De ontwikkeling werd Checkm8 genoemd en is zeer belangrijk, zoals exploiteert een kwetsbaarheid in bootrom, en de auteur zelf omschrijft zijn te benutten als “permanente en onherstelbare”.
Nu, Cisco Talos experts hebben gewaarschuwd dat aanvallers niet hebben genegeerd dit evenement en zijn al te parasiteren op Checkm8.
“Sommige gebruikers willen hun apparaten jailbreaken, omdat het hen in staat stelt om veel extra handelingen op hun apparaten die Apple heeft vergrendeld uit te voeren. Dit kunnen eenvoudige taken zoals SSHing (op afstand toegang) het IOS-apparaat, het veranderen van pictogrammen en thema's op het iOS-apparaat, en ook voor oneigenlijk gebruik zoals illegale software en games”, - write Cisco Talos onderzoekers.
Onderzoekers ontdekten de site checkrain[.]met, die bootst de bron checkra1n[.]met, waarop een groep van informatiebeveiliging enthousiastelingen (waaronder axi0mX zelf) van plan om de eerste gebruiksvriendelijke jailbreak tool gebaseerd op Checkm8 publiceren. Hoewel de onderzoekers nog niet hebben vrijgegeven hun gereedschap, fraudeurs nu al gebruik te maken van de situatie.
De nep-site wordt gebruikt voor het verspreiden .mobileconfig configuratiebestand. Eenmaal geïnstalleerd op het apparaat van het slachtoffer, Dit bestand voegt een snelkoppeling naar het scherm van de gebruiker. Na het klikken op de snelkoppeling, een headless browser (browser zonder gebruikersinterface-elementen) wordt gelanceerd, die laadt de pagina uit de zwendel website, voorwenden om een native applicatie.
Deze gemaskerde pagina maakt gebruik van JavaScript en CSS-animaties om het proces van jailbreaking een apparaat simuleren. Wanneer de animatie eindigt, de site vraagt de gebruiker om het spel te installeren en bereikt de achtste niveau in het in een week, vermoedelijk de jailbreak te voltooien en ontgrendelen van de inrichting.
Lees ook: Aanvallers uitgebuit een 0-day iTunes kwetsbaarheid voor ransomware verspreiden
Met deze “legende,”Slachtoffers kan worden aangeboden aan verschillende games te installeren, en alle van hen zijn legitieme applicaties daadwerkelijk op de iOS App Store gehost. Dat is, deze frauduleuze regeling wordt niet gebruikt om malvari distribueren, maar helpt om geld te verdienen voor zowel de exploitanten van de nep-site en voor hun partners, die de ontwikkeling van deze games en kopen, “reclame” voor zichzelf.
Onderzoekers rekening mee dat voor een min of meer technisch opgeleide gebruiker, dit alles zal uitzien onzin, maar oplichters meestal prooi op gebruikers die geen technische kennis hebben.
Aanbevelingen van Cisco Talos
Deze schadelijke website leidt alleen maar tot klikfraude. Maar dezelfde techniek gebruikt kan worden voor meer kwaadaardige en kritische acties. Inplaats van een “web clip” profiel, de aanvallers konden hun eigen MDM inschrijving implanteren. We eerder ontdekte iOS kwaadaardige MDM campagnes hier, hier en hier. We raden sterk aan om nooit een onbekende profiel installeren vanaf het internet.
Talos raden de volgende methoden om te controleren of uw telefoon is voorzien van extra profielen of is ingeschreven in een MDM-platform:
- Gebruikers kunnen beperkingen door MDM profielen in Instellingen bekijken > Algemeen > profielen & Apparaatbeheer > [MDM configuratie] > beperkingen
- Gebruikers kunnen ook controleren welke toepassingen een MDM-profiel hebt geïnstalleerd op hun apparaat in Instellingen > Algemeen > profielen & Apparaatbeheer > [MDM configuratie] > Apps.
