Uma vulnerabilidade zero-day do Safari recém-descoberta foi explorada por crackers em uma campanha que teve como alvo funcionários de governos da Europa — a falha, identificada como CVE-2021-1879, acometeu do iOS 12.4 ao 13.7. As informações foram divulgadas pelo Google.
Mais precisamente, o ataque envolveu mensagens enviadas a funcionários do governo pelo LinkedIn. Nesse sentido, as vítimas visitavam um link que as redirecionava para um domínio malicioso, no qual o sistema era analisado para contornar certas proteções de segurança.
Ao desabilitar a defesa do sistema, os crackers conseguiram reunir informações de autenticação do Google, da Microsoft, do LinkedIn, do Facebook, do Yahoo e outros — antes de enviá-las a um IP controlado pelos invasores.
A vítima precisaria ter uma sessão aberta nesses sites do Safari para que os cookies fossem exfiltrados com sucesso.
Embora o Google não tenha especificado quem conduziu o ataque, o Ars Technica, que divulgou as descobertas, disse que a Nobelium está por trás dos ataques — a mesma equipe responsável pelo ataque SolarWinds, em 2019.
Vale notar que esse mesmo grupo trabalhou para o Serviço de Inteligência Estrangeiro Russo, responsável também por invadir dispositivos pertencentes à Agência dos Estados Unidos para o Desenvolvimento Internacional.