Hace unos días, Kaspersky descubrió malware sofisticado en los iPhone de la empresa. La campaña, denominada Operación Triangulación, aparentemente es incluso más peligrosa que, digamos, Pegasus, con la que incluso se escuchó a jefes de estado como Macron. Kaspersky analizó el malware y lanzó la herramienta gratuita Triangle_Check para macOS, Windows y Linux, que busca la infección del malware.
Suena más como algo salido de una película de espías: un grupo APT desarrolla malware adaptado a una vulnerabilidad específica de iPhone y lo usa para infectar los iPhones de un importante proveedor de seguridad. El atacante debe tener una confianza ilimitada en sí mismo. Pero el atacante no esperaba lo seguro que es internamente en Kaspersky:
Dado que Kaspersky monitorea meticulosamente y siempre analiza todas las comunicaciones en su propia red, se ha notado que varios iPhone están haciendo cosas extrañas. La campaña APT detectada está dirigida a dispositivos iOS. Un análisis posterior reveló que el actor de amenazas había infectado dispositivos iOS pertenecientes a docenas de empleados de la empresa.
iPhones internos de Kaspersky infectados
🔎 Según Kaspersky, el malware para iPhone busca contacto con varios servidores de comando y control.
La investigación de la técnica de ataque aún está en curso, pero los expertos de Kaspersky ya han podido determinar el curso general de la infección. Las víctimas recibieron un mensaje a través de iMessage con un archivo adjunto que contenía un exploit de cero clic. Sin más interacción, el mensaje aprovechó una vulnerabilidad que condujo a la ejecución de un código de escalada de privilegios, lo que permitió un control total sobre el dispositivo infectado. Una vez que el atacante había penetrado con éxito en el dispositivo, el mensaje se eliminaba automáticamente. Además, el malware enviaba información privada a otros servidores, incluidas grabaciones de micrófonos, fotos de mensajería instantánea, datos de ubicación y otros datos sobre una variedad de otras actividades realizadas por el propietario del dispositivo infectado.
Cartera de productos no infectados
El ataque debe proporcionar al atacante mucha información. Sin embargo, los atacantes no pudieron acceder a los datos internos para el desarrollo o control de los productos de Kaspersky. La compañía ya ha analizado esto. La investigación denominada Operación Triangulación está en curso y Kaspersky planea publicar más detalles lo antes posible. También existe una sospecha razonable de que hay otras víctimas de esta campaña de espionaje fuera de Kaspersky.
Herramienta gratuita de detección de malware
Dado que muchas empresas ahora no están seguras de si también han sido atacadas, Kaspersky ofrece una herramienta de verificación gratuita a través de GitHub. Por lo tanto, es de acceso público y está disponible para macOS, Windows y Linux. Antes de instalar el programa, los usuarios primero deben hacer una copia de seguridad del dispositivo; y solo entonces instale y ejecute la herramienta. Solo la copia de seguridad que se está analizando se utiliza para el análisis. La única forma de limpiar completamente un dispositivo es restablecer un iPhone a la configuración de fábrica, instalar la nueva versión de iOS y configurar el dispositivo desde cero. Sin embargo, debe desactivar iMessage inmediatamente.
El programa emite tres mensajes:
- 'DETECTADO' confirma que el dispositivo ha sido infectado.
- 'SOSPECHA' por otro lado, indica la detección de indicadores menos claros que sugieran una probable infección.
- 'No se identificaron rastros de compromiso' se muestra cuando no se detectaron indicadores de compromiso (IoC) y el dispositivo no está infectado.
“Hoy estamos orgullosos de ofrecer una herramienta pública gratuita que los usuarios pueden usar para verificar si están afectados por la amenaza avanzada recién descubierta. Con el 'triangle_check' multiplataforma, los usuarios pueden escanear automáticamente sus dispositivos”, comenta Igor Kuznetsov, jefe de la unidad EEMEA en el Equipo de análisis e investigación global (GReAT) de Kaspersky. "Instamos a la comunidad de ciberseguridad a unir fuerzas en la exploración de este nuevo APT para construir un mundo digital más seguro".
¿Quién puede desarrollar dicho malware?
¿Quién tiene las habilidades y los medios para desarrollar un programa tan pérfido para una vulnerabilidad hasta ahora desconocida? Ya en Pegasus, que fue desarrollado por la empresa israelí NSO Group, fue considerado sobresaliente por los expertos. El malware Operación Triangulación es casi menos probable y extremadamente difícil de detectar. Kaspersky tuvo que desmontar y analizar las copias de seguridad de los dispositivos para encontrar el malware. El tiempo dirá si un grupo APT controlado por el estado podría estar detrás del malware.
Rojo./sel.
Directamente a la herramienta de búsqueda de Kaspersky.com