SGGPO
Tras los informes sobre la campaña Operación Triangulación dirigida a dispositivos iOS, los expertos de Kaspersky arrojaron luz sobre los detalles del software espía utilizado en el ataque.
 |
| El malware TriangleDB ha afectado a los dispositivos iOS |
Kaspersky informó recientemente sobre una nueva campaña APT (Amenaza Persistente Avanzada) móvil dirigida a dispositivos iOS a través de iMessage. Después de una investigación de seis meses, los investigadores de Kaspersky han publicado un análisis en profundidad de la cadena de exploits y hallazgos detallados sobre la infección del software espía.
El software, llamado TriangleDB, se implementa explotando una vulnerabilidad para obtener acceso root en dispositivos iOS. Una vez ejecutado, solo opera en la memoria del dispositivo, por lo que los rastros de infección desaparecen cuando el dispositivo se reinicia. Entonces, si la víctima reinicia el dispositivo, el atacante debe volver a infectarlo enviando otro iMessage con un archivo adjunto malicioso, iniciando nuevamente todo el proceso de explotación.
Si el dispositivo no se reinicia, el software se desinstalará automáticamente después de 30 días, a menos que los atacantes extiendan este período. Al actuar como un sofisticado software espía, TriangleDB realiza una variedad de funciones de recopilación y monitoreo de datos.
El software incluye 24 comandos con diversas funciones. Estos comandos sirven para una variedad de propósitos, como interactuar con el sistema de archivos del dispositivo (incluyendo crear, modificar, extraer y eliminar archivos), administrar procesos (enumerar y finalizar), extraer cadenas para recopilar información de inicio de sesión de la víctima y monitorear la geolocalización de la víctima.
Al analizar TriangleDB, los expertos de Kaspersky descubrieron que la clase CRConfig contiene un método no utilizado llamado populatedWithFieldsMacOSOnly. Si bien no se utiliza en infecciones de iOS, su presencia sugiere la capacidad de atacar dispositivos macOS.
Kaspersky recomienda que los usuarios tomen las siguientes medidas para evitar convertirse en víctimas de un ataque dirigido: Para protección, investigación y respuesta oportuna a nivel de endpoint, utilice una solución de seguridad confiable. Soluciones de nivel empresarial, como Kaspersky Unified Monitoring and Analysis Platform (KUMA) ); Actualice su sistema operativo Microsoft Windows y el software de terceros lo antes posible y hágalo periódicamente; Proporcionar acceso a la última inteligencia de amenazas (TI) para los equipos SOC. Kaspersky Threat Intelligence es la única fuente de acceso de la empresa a TI y proporciona 20 años de datos y perspectivas sobre ciberataques de Kaspersky; Equipe a su equipo de ciberseguridad para enfrentar las últimas amenazas específicas con el curso de capacitación en línea de Kaspersky, desarrollado por expertos de GreAT; Dado que muchos ataques dirigidos comienzan con tácticas de phishing o ingeniería social, brinde capacitación sobre concientización sobre seguridad y enseñe habilidades esenciales a los empleados de la empresa, como Kaspersky Automated Security Awareness Platform…
“Cuando investigamos más a fondo el ataque, descubrimos que esta sofisticada infección de iOS tenía varias características extrañas”, dijo Georgy Kucherin, experto en seguridad del Equipo de Investigación y Análisis Global de Kaspersky. Continuamos analizando la campaña y actualizaremos a todos con más información sobre este sofisticado ataque. “Hacemos un llamamiento a la comunidad de ciberseguridad para que se una para compartir conocimientos y colaborar a fin de obtener una imagen más clara de las amenazas que existen”.
Fuente
Kommentar (0)