A Firefox Zero-Day a Mac rosszindulatú programok telepítésére szolgál

Mozilla kiadott egy sürgősségi Firefox javítás a hét elején veszélyes nulla napos kihasználásra hivatkozva. Mivel úgy vélte, hogy a hackerek kihasználják a vadonban rejlő hibát, a Mozilla nem volt hajlandó részleteket közölni a probléma természetével kapcsolatban. Van néhány további részletek és azt javasolják, hogy a támadás középpontjában a kriptovaluta-csere alkalmazottai álljanak.

A sérülékenységet olyan JavaScript-hibák okozták, amelyeket a rosszindulatú szereplők felhasználhattak egy kihasználható böngésző összeomlásához. Ez megnyitotta az ajtót a távoli kód futtatására a rendszeren. A második kapcsolódó biztonsági rés lehetővé tette a támadók számára, hogy kitörjenek a Firefox biztonsági homokozójából és az operációs rendszerbe. A Mozilla kedden adta ki a JavaScript javítást, csütörtökön pedig a homokozó javítását.



Mielőtt ezek a javítások bármelyike ​​kijönne, a Mozilla tudomást szerzett egy mindkét támadást kihasználó támadásról. Akkor még csak akkor tudtuk, hogy a támadásoknak köze van a Coinbase-hez, mivel az első hibajelentés egy kutatótól származott, aki mind a Google Project Zero, mind a Coinbase biztonsági csapatában dolgozik. A Coinbase biztonsági vezetője, Philip Martin szerint a támadás a Coinbase alkalmazottait és nem a felhasználókat célozta meg. Martin azt is megjegyzi, hogy a támadásokban más cserékre is sor került, bár egyik sem lépett előre.





Eközben az Apple biztonsági szakértője, Patrick Wardle közzétette egy rosszindulatú program elemzését, amely úgy tűnik, hogy egy teljesen frissített Mac-re telepítette magát. A Wardle által biztosított hash megegyezik Martin egyikével, és a támadás áldozata egészen a legutóbbi időkig egy kriptovaluta-cserével volt kapcsolatban. Sajnos a rosszindulatú program újszerű, és elkerülte az Apple védelmi mechanizmusait, de Wardle úgy véli, hogy az Apple-nek javítása lesz annak érdekében, hogy megváltoztassa a macOS módját az alkalmazások által letöltött fájlok, nem pedig a felhasználó által.

Wardle rendelkezik az adathalász e-mail másolatával is, amelyet az áldozatnak küldtek el, aki szerint a támadás úgynevezett „meghajtós letöltésből” állt össze a Firefoxban. A weboldal azonban azóta eltűnt. A cél valószínűleg az volt, hogy hozzáférjen a tőzsdék által használt pénz kriptopénztárcákhoz.

A támadásból gyűjtött rosszindulatú program-minták csak a macOS-szal kompatibilisek, de a parancs- és vezérlőszerverek egyikéről ismert a Windows rosszindulatú programjainak irányítása is. Lehetséges, hogy a támadás Windows-verziója létezik a vadonban, de eddig elkerülte az észlelést.