Kaspersky divulga detalhes sobre programa espião que infecta sistema iOS

Seguindo o anúncio sobre a campanha de espionagem chamada Operação Triangulação que infecta dispositivos iOS, os especialistas da Kaspersky detalham agora o implante spyware usado nos ataques. Apelidado de TriangleDB, ele concede aos invasores recursos de vigilância secreta. Este malware roda apenas na memória do dispositivo, o que garante que todas as evidências da infecção sejam apagadas ao reiniciar o dispositivo.

A Kaspersky revelou recentemente uma nova campanha avançada (Advanced Persistent Threat – APT) visando infectar dispositivos móveis rodando o iOS, por meio de uma mensagem enviada via iMessage. Após seis meses de investigação, os pesquisadores da empresa publicaram uma análise aprofundada sobre as vulnerabilidades exploradas no ataque e detalharam como o programa espião opera. O implante, apelidado de TriangleDB, é instalado explorando uma vulnerabilidade do kernel do iOS, para adquirir privilégios de administrador (root) no dispositivo alvo.

Uma vez instalado, ele opera apenas na memória do dispositivo, portanto, os vestígios da infecção desaparecerão após a reinicialização do dispositivo. Consequentemente, se a vítima reiniciar seu dispositivo, o invasor precisará reinfectá-lo novamente, enviando uma nova mensagem via iMessage, com o anexo malicioso para iniciar todo o processo de exploração. Se não ocorrer a reinicialização, o implante será desinstalado automaticamente após 30 dias, a menos que os invasores estendam esse período. Operando como um spyware complexo, o TriangleDB executa uma ampla variedade de recursos de coleta e monitoramento de dados.

No total, o implante inclui 24 comandos com diversas funcionalidades, como por exemplo, interagir com o sistema de arquivos do dispositivo (podendo criar, modificar, roubar e remover arquivos), gerenciar processos (listagem e encerramento), extrair senhas para coletar credenciais e monitorar a geolocalização da vítima.

Enquanto analisavam o TriangleDB, os especialistas da Kaspersky descobriram também uma função CRConfig inativa, chamada “populateWithFieldsMacOSOnly”. Apesar dela não ser usada pelo implante para iOS, sua presença sugere a possibilidade de que dispositivos rodando o macOS poderiam ser alvos de um implante similar.

“Conforme nos aprofundamos no ataque, descobrimos um sofisticado implante de iOS que exibia inúmeras funções intrigantes. Continuamos analisando a campanha e manteremos todos atualizados com mais informações sobre esse sofisticado ataque. Convidamos a comunidade de cibersegurança a se unir, compartilhar conhecimento e colaborar para obter uma imagem mais clara sobre as ameaças existentes”, comenta Georgy Kucherin, especialista em segurança da equipe Global Research and Analysis Team (GReAT) da Kaspersky.

Para saber mais sobre o spyware TriangleDB, veja o post técnico no Securelist.

Os pesquisadores da Kaspersky lançaram uma ferramenta especial chamada ‘triangle_check’ para verificar se há infecção por esse malware. Para acessar o guia detalhado e realizar a verificação, acesse o blogpost.

Para evitar ser vítima de um ataque direcionado por um grupo especializado conhecido ou desconhecido, os pesquisadores da Kaspersky recomendam as seguintes medidas de segurança:

Para correlacionar eventos para detectar ataques ou investigar um incidente no Endpoint, use uma solução corporativa de segurança confiável, como Kaspersky Unified Monitoring and Analysis Platform (KUMA).
Atualize os sistemas operacionais e todos os programas instalados sempre que uma correção ou atualização esteja disponível.
Forneça à equipe do SOC acesso à relatórios de inteligência de ameaças (Threat Intelligence) mais recentes. O Kaspersky Threat Intelligence é um portal que reúne dados de ciberataques e insights coletados pela Kaspersky ao longo de 20 anos.
Capacite sua equipe de segurança para lidar com as ameaças direcionadas mais recentes com o treinamento online da Kaspersky desenvolvido por especialistas do GReAT.
Como muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, realize treinamentos de conscientização de segurança para todos os funcionários e ensine habilidades práticas por meio da Kaspersky Automated Security Awareness Platform.