Seguindo o anúncio sobre a campanha de espionagem chamada Operação Triangulação que infecta dispositivos iOS, os especialistas da Kaspersky detalham agora o implante spyware usado nos ataques. Apelidado de TriangleDB, ele concede aos invasores recursos de vigilância secreta. Este malware roda apenas na memória do dispositivo, o que garante que todas as evidências da infecção sejam apagadas ao reiniciar o dispositivo.
A Kaspersky revelou recentemente uma nova campanha avançada (Advanced Persistent Threat - APT) visando infectar dispositivos móveis rodando o iOS, por meio de uma mensagem enviada via iMessage. Após seis meses de investigação, os pesquisadores da empresa publicaram uma análise aprofundada sobre as vulnerabilidades exploradas no ataque e detalharam como o programa espião opera.
O implante, apelidado de TriangleDB, é instalado explorando uma vulnerabilidade do kernel do iOS, para adquirir privilégios de administrador (root) no dispositivo alvo.
Como ele ataca o iPhone
Uma vez instalado, ele opera apenas na memória do dispositivo, portanto, os vestígios da infecção desaparecerão após a reinicialização do dispositivo. Consequentemente, se a vítima reiniciar seu dispositivo, o invasor precisará reinfectá-lo novamente, enviando uma nova mensagem via iMessage, com o anexo malicioso para iniciar todo o processo de exploração.
Se não ocorrer a reinicialização, o implante será desinstalado automaticamente após 30 dias, a menos que os invasores estendam esse período. Operando como um spyware complexo, o TriangleDB executa uma ampla variedade de recursos de coleta e monitoramento de dados.
No total, o implante inclui 24 comandos com diversas funcionalidades, como por exemplo, interagir com o sistema de arquivos do dispositivo (podendo criar, modificar, roubar e remover arquivos), gerenciar processos (listagem e encerramento), extrair senhas para coletar credenciais e monitorar a geolocalização da vítima.
Enquanto analisavam o TriangleDB, os especialistas da Kaspersky descobriram também uma função CRConfig inativa, chamada "populateWithFieldsMacOSOnly". Apesar dela não ser usada pelo implante para iOS, sua presença sugere a possibilidade de que dispositivos rodando o macOS poderiam ser alvos de um implante similar.
“Conforme nos aprofundamos no ataque, descobrimos um sofisticado implante de iOS que exibia inúmeras funções intrigantes. Continuamos analisando a campanha e manteremos todos atualizados com mais informações sobre esse sofisticado ataque. Convidamos a comunidade de cibersegurança a se unir, compartilhar conhecimento e colaborar para obter uma imagem mais clara sobre as ameaças existentes”, comenta Georgy Kucherin, especialista em segurança da equipe Global Research and Analysis Team da Kaspersky.
Dicas para manter o iPhone em segurança
Os pesquisadores da Kaspersky lançaram uma ferramenta especial chamada ‘triangle_check’ para verificar se há infecção por esse malware. E para evitar ser vítima de um ataque direcionado por um grupo especializado conhecido ou desconhecido, os pesquisadores da Kaspersky recomendam as seguintes medidas de segurança:
- • Para correlacionar eventos para detectar ataques ou investigar um incidente no endpoint, use uma solução corporativa de segurança confiável, como Kaspersky Unified Monitoring and Analysis Platform (KUMA).
- • Atualize os sistemas operacionais e todos os programas instalados sempre que uma correção ou atualização esteja disponível.
- • Forneça à equipe do SOC acesso à relatórios de inteligência de ameaças (Threat Intelligence) mais recentes.
- • Capacite sua equipe de segurança para lidar com as ameaças direcionadas mais recentes.
- • Como muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, realize treinamentos de conscientização de segurança para todos os funcionários.
(*) HOMEWORK inspira transformação no mundo do trabalho, nos negócios, na sociedade. É criação da Compasso, agência de conteúdo e conexão.