Uma nova vulnerabilidade existente no antigo hardware iOS foi descoberta e, embora alguns tenham usado para liberar seus dispositivos, a Cisco Talos descobriu recentemente que os cibercriminosos criaram um site falso que busca capitalizar os usuários que tentam desbloquear seus iPhones.
No entanto, em vez de fazer o jailbreak do dispositivo de um usuário, o site solicita apenas que os usuários baixem um perfil malicioso que os invasores usam para realizar fraudes por clique.
Checkm8 é uma vulnerabilidade de bootrom que afeta todos os modelos herdados do iPhone de 4S para X. A campanha descoberta pelo Cisco Talos tenta capitalizar em um projeto chamado checkrain que usa a vulnerabilidade checkm8 para modificar o bootrom de um iPhone e fazer upload de uma imagem com jailbreak no dispositivo.
A vulnerabilidade do Checkm8 pode ser explorada usando uma ferramenta de código aberto chamada "ipwndfu" desenvolvida pela AxiomX, mas os invasores que o Cisco Talos rastreia executam um site malicioso chamado checkrain.com que tira proveito dos usuários que procuram o projeto legítimo de checkrain.
Checkrain
O site falso do checkrain tenta parecer legítimo, afirmando que trabalha com pesquisadores populares como "CoolStar" e Ian Beer, do Google Project Zero. A página solicita que os usuários baixem um aplicativo para desbloquear o telefone, mas, na realidade, não há aplicativo, pois os invasores estão tentando instalar um perfil malicioso no dispositivo do usuário final.
Quando um usuário visita o site falso pela primeira vez, um botão de download é apresentado. O Cisco Talos observou várias coisas sobre o site, incluindo a menção de dispositivos A13 que não são vulneráveis ao Checkm8, indicando que o site não é legítimo.
Além disso, o site diz que os usuários podem instalar o jailbreak do checkrain sem usar um PC, mas, na realidade, a exploração do Checkm8 exige que o dispositivo iOS esteja no modo DFU e possa ser explorado com um cabo USB da Apple. Outra dica foi o fato de o site falso de checkrain usar um certificado SSL da LetsEncrypt, enquanto o site real nem sequer possui um certificado SSL.
Depois de clicar no botão de download, um aplicativo com um ícone de trava de download é baixado e instalado no iPhone de um usuário. No entanto, embora o ícone possa aparecer como um aplicativo normal, na verdade é um marcador para conectar-se a um URL.
Em vez de fornecer aos usuários um jailbreak real, os agentes de ameaças por trás desta campanha estão usando seus dispositivos para cometer fraudes por clique.
Por mais tentador que possa parecer um dispositivo jailbreak, ao tentar explorar a vulnerabilidade Checkm8, ele pode estar abrindo seu dispositivo e seus dados para hackers.
