Los investigadores de Kaspersky han lanzado una herramienta especial llamada 'triangle_check' que busca automáticamente la infección de malware
Después de la publicación del informe sobre la campaña de ataques de Operación Triangulación dirigida a dispositivos iOS, los expertos de Kaspersky están brindando detalles sobre el spyware utilizado durante los ataques. El implante de spyware, conocido como TriangleDB, proporciona capacidades de vigilancia encubierta a los atacantes. Funciona exclusivamente en la memoria, lo que garantiza que todas las pruebas del implante se eliminen al reiniciar el dispositivo.
Recientemente, Kaspersky informó sobre una nueva campaña de amenazas persistentes avanzadas (APT) que se centra en dispositivos iOS a través de iMessage. Después de una investigación de seis meses, los investigadores de la compañía publicaron un análisis exhaustivo de la cadena de explotación y descubrieron detalles sobre la instalación del spyware. El implante, llamado TriangleDB, se implementa aprovechando una vulnerabilidad del kernel para obtener privilegios de root en el dispositivo iOS objetivo.
Una vez instalado, el implante funciona únicamente en la memoria del dispositivo, lo que significa que los rastros de la infección desaparecen al reiniciar el dispositivo. Como resultado, si la víctima reinicia su dispositivo, el atacante debe infectarlo nuevamente enviando otro iMessage que contenga un archivo malicioso, reiniciando así todo el proceso de explotación. Si el dispositivo no se reinicia, el implante se desinstalará automáticamente después de 30 días, a menos que los atacantes extiendan ese período. TriangleDB actúa como un spyware complejo y realiza una amplia gama de funciones de monitoreo y recopilación de datos.
En total, el implante incluye 24 comandos con diversas funcionalidades. Estos comandos tienen varios propósitos, como interactuar con el sistema de archivos del dispositivo (crear, modificar, exfiltrar y eliminar archivos), administrar procesos (listar y finalizar), extraer elementos del llavero para recopilar credenciales de la víctima y monitorear la geolocalización de la víctima, entre otros.
Mientras analizaban TriangleDB, los expertos de Kaspersky descubrieron que la clase CRConfig contiene un método no utilizado llamado "populateWithFieldsMacOSOnly". Aunque no se utiliza en el implante de iOS, su presencia sugiere la posibilidad de apuntar a dispositivos macOS con un implante similar.
"A medida que profundizamos en el ataque, descubrimos un complejo implante de iOS que mostraba numerosas peculiaridades intrigantes. Continuaremos analizando la campaña y mantendremos a todos actualizados con más información sobre este ataque complejo. Instamos a la comunidad de ciberseguridad a unirse, compartir conocimientos y colaborar para obtener una imagen más clara de las amenazas existentes", comentó Georgy Kucherin, experto en seguridad del Equipo de Investigación y Análisis Global de Kaspersky (GReAT).
Los investigadores de Kaspersky han lanzado una herramienta especial llamada 'triangle_check' que busca automáticamente la infección de malware. Para obtener una guía detallada sobre cómo verificar su dispositivo, consulte la publicación en el blog.
Para evitar convertirse en víctima de un ataque dirigido por un agente de amenazas, ya sea conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Utilizar una solución de seguridad confiable para empresas, como Kaspersky Unified Monitoring and Analysis Platform (KUMA), para la detección, investigación y corrección oportuna de incidentes a nivel de terminales.
- Actualizar el sistema operativo Microsoft Windows y otro software de terceros tan pronto como sea posible y de manera regular.
- Proporcionar al equipo SOC acceso a la inteligencia más reciente sobre amenazas (TI) a través de Kaspersky Threat Intelligence, que ofrece información y datos sobre ataques cibernéticos recopilados por Kaspersky durante más de 20 años.
- Mejorar las habilidades de seguridad cibernética de su equipo para enfrentar las amenazas más recientes mediante la capacitación en línea de Kaspersky desarrollada por expertos de GReAT.
- Iniciar el entrenamiento sobre seguridad y enseñar habilidades prácticas a su equipo, incluyendo el uso de la plataforma Kaspersky Automated Security Awareness Platform, ya que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social.
Publicar un comentario