Des employés utilisateurs d’iOS attaqués via Linkedin

Une nouvelle campagne malveillante visant des employés gouvernementaux a été découverte alors que les pirates tentaient d’infiltrer leurs appareils Apple via le site Linkedin.

Prenez des fonctionnaires de plusieurs gouvernements. Des employés présents sur la plateforme professionnelle Linkedin et utilisateurs d’appareils Apple. Vous mélangez le tout et vous attendez de voir débarquer des pirates informatiques.

C’est ce qui vient d’être découvert dans une nouvelle cyber attaque. Les espions ont utilisé la messagerie LinkedIn pour cibler des représentants de gouvernements de pays d’Europe occidentale en leur envoyant des liens piégés.

Quand la cible visitait le site proposait par le lien, et cela à partir d’un appareil iOS, elle était redirigée vers un domaine contrôlé par un pirate.

Ce nouvel espace servait à lancer une tentative d’infiltration de l’appareil.

iOS, mais pas que !

La campagne ciblant les appareils iOS a coïncidé avec les campagnes ciblant des utilisateurs d’appareils Windows. Une tentative d’infiltration orchestrée par le même pirate. Il a tenté de diffuser Cobalt Strike.

L’exploit pirate désactivait les protections Same-Origin-Policy afin de collecter des cookies d’authentification de plusieurs sites Web populaires, notamment Google, Microsoft, LinkedIn, Facebook et Yahoo et de les envoyer via WebSocket à une adresse IP contrôlée par un espion 2.0.

La victime avait besoin d’avoir une session ouverte sur ces sites Web à partir de Safari pour que les cookies soient exfiltrés avec succès.
L’exploit ciblait les versions iOS 12.4 à 13.7.