Kaspersky révèle des informations sur un logiciel qui attaque les appareils iOS

SGGPO 30/06/2023 15:12

Suite aux rapports faisant état de la campagne Operation Triangulation ciblant les appareils iOS, les experts de Kaspersky ont fait la lumière sur les détails du logiciel espion utilisé dans l'attaque.

Le malware TriangleDB a frappé les appareils iOS

Kaspersky a récemment signalé une nouvelle campagne APT (Advanced Persistent Threat) mobile ciblant les appareils iOS via iMessage. Après une enquête de six mois, les chercheurs de Kaspersky ont publié une analyse approfondie de la chaîne d'exploitation et des conclusions détaillées sur l'infection par le logiciel espion.

Le logiciel, appelé TriangleDB, est déployé en exploitant une vulnérabilité pour obtenir un accès root sur les appareils iOS. Une fois lancé, il ne fonctionne que dans la mémoire de l'appareil, de sorte que les traces d'infection disparaissent lorsque l'appareil redémarre. Ainsi, si la victime redémarre l'appareil, l'attaquant doit réinfecter l'appareil en envoyant un autre iMessage avec une pièce jointe malveillante, recommençant ainsi tout le processus d'exploitation.

Si l'appareil ne redémarre pas, le logiciel sera automatiquement désinstallé après 30 jours, à moins que les attaquants ne prolongent cette période. Agissant comme un logiciel espion sophistiqué, TriangleDB exécute une variété de capacités de collecte et de surveillance de données.

Le logiciel comprend 24 commandes avec des fonctions diverses. Ces commandes servent à diverses fins, telles que l'interaction avec le système de fichiers de l'appareil (y compris la création, la modification, l'extraction et la suppression de fichiers), la gestion des processus (liste et terminaison), l'extraction de chaînes pour collecter les informations d'identification de la victime et la surveillance de l'emplacement géographique de la victime.

Lors de l'analyse de TriangleDB, les experts de Kaspersky ont découvert que la classe CRConfig contient une méthode inutilisée appelée populatedWithFieldsMacOSOnly. Bien qu'il ne soit pas utilisé dans les infections iOS, sa présence suggère la capacité de cibler les appareils macOS.

Kaspersky recommande aux utilisateurs de prendre les mesures suivantes pour éviter d'être victime d'une attaque ciblée : Pour une protection au niveau des terminaux, une enquête et une réponse rapide, utilisez une solution de sécurité d'entreprise fiable, telle que Kaspersky Unified Monitoring and Analysis Platform (KUMA) ; Mettez à jour votre système d’exploitation Microsoft Windows et vos logiciels tiers dès que possible et faites-le régulièrement ; Fournir un accès aux dernières informations sur les menaces (TI) pour les équipes SOC. Kaspersky Threat Intelligence est la source unique d'accès de l'entreprise à TI, fournissant 20 ans de données et d'informations sur les cyberattaques de Kaspersky ; Équipez votre équipe de cybersécurité pour faire face aux dernières menaces ciblées avec le cours de formation en ligne de Kaspersky, développé par les experts de GreAT ; Étant donné que de nombreuses attaques ciblées commencent par des tactiques de phishing ou d’ingénierie sociale, proposez aux employés de votre entreprise une formation de sensibilisation à la sécurité et une formation aux compétences, comme Kaspersky Automated Security Awareness Platform…

« En approfondissant l'analyse de l'attaque, nous avons découvert que cette infection iOS sophistiquée présentait plusieurs caractéristiques étranges. Nous continuons d'analyser la campagne et nous vous tiendrons informés dès que nous en saurons plus sur cette attaque sophistiquée. Nous encourageons la communauté de la cybersécurité à partager ses connaissances et à collaborer afin d'obtenir une vision plus claire des menaces », a déclaré Georgy Kucherin, expert en sécurité au sein de l'équipe mondiale de recherche et d'analyse de Kaspersky.

Source