Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Kaspersky revela detalhes sobre programa espião que infecta sistema iOS

Share on linkedin
Share on twitter
Share on facebook

Entre os destaques, estão a execução na memória para apagar os rastros da infecção, uma lista com 24 ações de espionagem e a presença de uma função inativa que indica a possibilidade de que dispositivos macOS poderiam ser alvos de um malware similar
 

21 de junho de 2023


Seguindo o anúncio sobre a campanha de espionagem chamada Operação Triangulação que infecta dispositivos iOS, os especialistas da Kaspersky detalham agora o implante spyware usado nos ataques. Apelidado de TriangleDB, ele concede aos invasores recursos de vigilância secreta. Este malware roda apenas na memória do dispositivo, o que garante que todas as evidências da infecção sejam apagadas ao reiniciar o dispositivo.

A Kaspersky revelou recentemente uma nova campanha avançada (Advanced Persistent Threat – APT) visando infectar dispositivos móveis rodando o iOS, por meio de uma mensagem enviada via iMessage. Após seis meses de investigação, os pesquisadores da empresa publicaram uma análise aprofundada sobre as vulnerabilidades exploradas no ataque e detalharam como o programa espião opera. O implante, apelidado de TriangleDB, é instalado explorando uma vulnerabilidade do kernel do iOS, para adquirir privilégios de administrador (root) no dispositivo alvo.

Uma vez instalado, ele opera apenas na memória do dispositivo, portanto, os vestígios da infecção desaparecerão após a reinicialização do dispositivo. Consequentemente, se a vítima reiniciar seu dispositivo, o invasor precisará reinfectá-lo novamente, enviando uma nova mensagem via iMessage, com o anexo malicioso para iniciar todo o processo de exploração. Se não ocorrer a reinicialização, o implante será desinstalado automaticamente após 30 dias, a menos que os invasores estendam esse período. Operando como um spyware complexo, o TriangleDB executa uma ampla variedade de recursos de coleta e monitoramento de dados.

No total, o implante inclui 24 comandos com diversas funcionalidades, como por exemplo, interagir com o sistema de arquivos do dispositivo (podendo criar, modificar, roubar e remover arquivos), gerenciar processos (listagem e encerramento), extrair senhas para coletar credenciais e monitorar a geolocalização da vítima.

Enquanto analisavam o TriangleDB, os especialistas da Kaspersky descobriram também uma função CRConfig inativa, chamada “populateWithFieldsMacOSOnly”. Apesar dela não ser usada pelo implante para iOS, sua presença sugere a possibilidade de que dispositivos rodando o macOS poderiam ser alvos de um implante similar.

Conforme nos aprofundamos no ataque, descobrimos um sofisticado implante de iOS que exibia inúmeras funções intrigantes. Continuamos analisando a campanha e manteremos todos atualizados com mais informações sobre esse sofisticado ataque. Convidamos a comunidade de cibersegurança a se unir, compartilhar conhecimento e colaborar para obter uma imagem mais clara sobre as ameaças existentes”, comenta Georgy Kucherin, especialista em segurança da equipe Global Research and Analysis Team (GReAT) da Kaspersky.

Para saber mais sobre o spyware TriangleDB, veja o post técnico no Securelist.

Os pesquisadores da Kaspersky lançaram uma ferramenta especial chamada ‘triangle_check’ para verificar se há infecção por esse malware. Para acessar o guia detalhado e realizar a verificação, acesse o blogpost.

Para evitar ser vítima de um ataque direcionado por um grupo especializado conhecido ou desconhecido, os pesquisadores da Kaspersky recomendam as seguintes medidas de segurança:

  • Para correlacionar eventos para detectar ataques ou investigar um incidente no endpoint, use uma solução corporativa de segurança confiável, como Kaspersky Unified Monitoring and Analysis Platform (KUMA).
  • Atualize os sistemas operacionais e todos os programas instalados sempre que uma correção ou atualização esteja disponível.
  • Forneça à equipe do SOC acesso à relatórios de inteligência de ameaças (Threat Intelligence) mais recentes. O Kaspersky Threat Intelligence é um portal que reúne dados de ciberataques e insights coletados pela Kaspersky ao longo de 20 anos.
  • Capacite sua equipe de segurança para lidar com as ameaças direcionadas mais recentes com o treinamento on-line da Kaspersky desenvolvido por especialistas do GReAT.
  • Como muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, realize treinamentos de conscientização de segurança para todos os funcionários e ensine habilidades práticas por meio da Kaspersky Automated Security Awareness Platform.