Cisco Talos ha recentemente scoperto che i criminali informatici hanno creato un sito Web fasullo per sfruttare gli utenti che tentano di eseguire il jailbreak dei loro iPhone.
Tuttavia, invece di liberare il dispositivo di un utente, il sito invita semplicemente gli utenti a scaricare un profilo dannoso che gli aggressori utilizzano per eseguire frodi sui clic.
Checkm8 è una vulnerabilità di avvio che colpisce tutti i modelli di iPhone precedenti, da 4S a X. La campagna scoperta da Cisco Talos cerca di sfruttare un progetto chiamato Checkrain, che utilizza la vulnerabilità di checkm8 per modificare l'avvio di un iPhone e caricare un'immagine con jailbreak. sul dispositivo
La vulnerabilità Checkm8 può essere sfruttata con l'aiuto di uno strumento open source chiamato "ipwndfu" sviluppato da AxiomX, ma gli aggressori monitorati da Cisco Talos gestiscono un sito Web dannoso chiamato checkrain.com che prende di mira gli utenti allo stesso tempo. cercare il progetto di catena di controllo legittimo.
CheckRain
Il falso sito Checkrain cerca di apparire legittimo sostenendo che funziona con i popolari motori di ricerca di sblocco come "CoolStar" e Ian Beer di Google Project Zero. La pagina chiede agli utenti di scaricare un'applicazione per sbloccare il telefono, ma non è presente alcuna applicazione perché gli aggressori tentano di installare un profilo dannoso sul dispositivo dell'utente finale.
Quando un utente visita per la prima volta il sito Web fasullo, viene visualizzato un pulsante di download. Cisco Talos ha identificato diversi problemi con il sito, inclusa la menzione di dispositivi A13 non vulnerabili a Checkm8, indicando che il sito Web non è legittimo.
Inoltre, il sito indica che gli utenti possono installare il jailbreak Checkrain senza utilizzare un PC, ma in realtà l'exploit Checkm8 richiede che il dispositivo iOS sia in modalità DFU e che sia sfruttabile con l'ausilio di un cavo USB Apple. Un altro suggerimento: il sito di controllo di verifica falso utilizza un certificato SSL LetsEncrypt, mentre il sito corrente non ha nemmeno un certificato SSL.
Dopo aver fatto clic sul pulsante di download, un'applicazione con un'icona di restrizione del controllo viene scaricata e installata sull'iPhone di un utente. Tuttavia, sebbene l'icona possa sembrare una normale applicazione, in realtà è un segnaposto per connettersi a un URL.
Invece di fornire agli utenti un vero jailbreak, gli autori delle minacce dietro questa campagna utilizzano i loro dispositivi per commettere frodi sui clic.
Per quanto allettante possa sembrare un dispositivo jailbroken, provare a sfruttare la vulnerabilità Checkm8 potrebbe aprire il tuo dispositivo e i tuoi dati agli hacker.