Cisco Talos a récemment découvert que les cybercriminels ont créé un faux site Web pour profiter des utilisateurs qui tentent de jailbreaker leurs iPhones.
Cependant, au lieu de libérer l'appareil d'un utilisateur, le site invite simplement les utilisateurs à télécharger un profil malveillant que les attaquants utilisent ensuite pour effectuer une fraude au clic.
Checkm8 est une vulnérabilité de démarrage qui affecte tous les modèles d'iPhone hérités, de 4S à X. La campagne découverte par Cisco Talos tente de tirer parti d'un projet appelé Checkrain, qui utilise la vulnérabilité checkm8 pour modifier le démarrage d'un iPhone et charger une image avec jailbreak. sur l'appareil
La vulnérabilité Checkm8 peut être exploitée à l'aide d'un outil open source appelé "ipwndfu" développé par AxiomX, mais les attaquants surveillés par Cisco Talos exécutent un site Web malveillant appelé checkrain.com qui cible les utilisateurs en même temps. recherchez le projet de chaîne de contrôle légitime.
Vérifier la pluie
Le faux site Checkrain tente de paraître légitime en affirmant qu'il fonctionne avec les moteurs de recherche de déverrouillage populaires tels que "CoolStar" et Ian Beer de Google Project Zero. La page demande aux utilisateurs de télécharger une application pour déverrouiller leur téléphone, mais il n'y a pas d'application car les attaquants tentent d'installer un profil malveillant sur l'appareil de l'utilisateur final.
Lorsqu'un utilisateur visite le faux site Web pour la première fois, un bouton de téléchargement apparaît. Cisco Talos a identifié plusieurs problèmes sur le site, notamment la mention de périphériques A13 non vulnérables à Checkm8, indiquant que le site Web n'est pas légitime.
De plus, le site Web indique que les utilisateurs peuvent installer le jailbreak Checkrain sans utiliser de PC, mais en fait l'exploit Checkm8 nécessite que l'appareil iOS soit en mode DFU et qu'il soit exploitable à l'aide d'un câble USB Apple. Autre astuce: le faux site de vérification de vérification utilise un certificat SSL LetsEncrypt, alors que le site actuel n'a même pas de certificat SSL.
Une fois que vous avez cliqué sur le bouton de téléchargement, une application avec une icône de restriction de contrôle est téléchargée et installée sur l'iPhone d'un utilisateur. Cependant, bien que l'icône puisse ressembler à une application normale, il s'agit en fait d'un espace réservé pour se connecter à une URL.
Au lieu de fournir aux utilisateurs un véritable jailbreak, les acteurs de la menace derrière cette campagne utilisent leurs appareils pour commettre une fraude au clic.
Aussi tentant qu'un appareil jailbreaké puisse paraître, essayer d'exploiter la vulnérabilité Checkm8 pourrait ouvrir votre appareil et vos données aux pirates.