Cisco Talos eksperter advart brukere som angripere aktivt bruker Checkm8 jailbreak.
ENt slutten av september 2019, en informasjon sikkerhetsforsker kjent som axi0mX publisert en utnytte, egnet for jailbreaking av nesten alle Apple-enheter med A5 til A11 chips utgitt mellom 2011 Og 2017.Utbyggingen ble kalt Checkm8 og er svært viktig, som det utnytter en sårbarhet i bootrom, og forfatteren selv beskriver sin utnytte som “permanent og uopprettelig”.
Nå, Cisco Talos eksperter har advart at angripere ikke har ignorert denne hendelsen og er allerede parasitter på Checkm8.
“Noen brukere ønsker å jailbreak sine enheter fordi det tillater dem å utføre en masse ekstra handlinger på sine enheter som Apple har låst ned. Dette kan være enkle oppgaver som SSHing (eksternt tilgang) iOS-enheten, endre ikoner og temaer på iOS-enheten, og også for ulovlig bruk som piratkopiert programvare og spill”, - skriv Cisco Talos forskere.
Forskere oppdaget området checkrain[.]med, som etterligner ressurs checkra1n[.]med, på hvilken en gruppe av informasjonssikkerhetsentusiastene (inkludert axi0mX selv) planlegger å publisere den første brukervennlig jailbreak verktøy basert på Checkm8. Selv om forskerne ennå ikke har gitt ut sin verktøy, svindlere allerede tar fordel av situasjonen.
Den falske nettstedet brukes til å distribuere .mobileconfig konfigurasjonsfil. Når installert på offerets enhet, denne filen legger en snarvei til brukerens skjerm. Etter å ha klikket på hurtig, en hodeløs nettleser (leseren uten elementer i brukergrensesnittet) er lansert, som laster siden fra scam nettstedet, utgir seg for å være en innfødt program.
Denne maskert siden bruker Javascript og CSS-animasjoner for å simulere prosessen med jailbreaking en enhet. Når animasjonen slutter, Nettstedet ber brukeren om å installere spillet og nå den åttende nivå i det i en uke, angivelig for å fullføre jailbreak prosessen og låse anordningen.
Les også: Angripere utnyttet en 0-day iTunes sårbarhet å spre ransomware
Med denne “legenden,”Ofre kan bli tilbudt å installere flere forskjellige spill, og alle av dem er legitime applikasjoner faktisk vert på iOS App Store. Det er, dette uredelig ordningen er ikke vant til å distribuere malvari, men bidrar til å tjene penger både for operatørene av falske nettstedet og for deres partnere som utvikler disse spillene, og kjøpe en slik “reklame” for dem selv.
Forskere oppmerksom på at en mer eller mindre teknisk utdannet bruker, alt dette vil se ut som fullstendig meningsløst, men svindlere vanligvis tære på brukere som ikke har teknisk kunnskap.
Anbefalinger fra Cisco Talos
Dette ondsinnet nettsted fører rett og slett til klikksvindel. Men den samme teknikken kan brukes til flere ondsinnede og kritiske handlinger. I stedet for en “web clip” profil, angriperne kunne implantere sin egen MDM innmelding. Vi har tidligere oppdaget iOS ondsinnede MDM kampanjer her, her og her. Vi anbefaler på det sterkeste å aldri installere en ukjent profil fra internett.
Talos anbefaler følgende metoder for å sjekke om telefonen har flere profiler eller er innmeldt i en MDM-plattformen:
- Brukere kan se begrensninger satt av MDM-profiler i Innstillinger > Generell > profiler & Device Management > [MDM konfigurasjon] > Begrensninger
- Brukere kan også sjekke hvilke programmer som har en MDM-profil installert på sin enhet i Innstillinger > Generell > profiler & Device Management > [MDM konfigurasjon] > Apps.
