Há alguns dias, a Kaspersky descobriu um malware sofisticado nos iPhones da empresa. A campanha, apelidada de Operação Triangulação, é aparentemente ainda mais perigosa do que, digamos, Pegasus, com a qual até mesmo chefes de estado como Macron foram ouvidos. A Kaspersky analisou o malware e lançou a ferramenta triangular_check gratuita para macOS, Windows e Linux, que procura a infecção por malware.
Parece mais algo saído de um filme de espionagem: um grupo APT desenvolve malware adaptado para uma vulnerabilidade específica do iPhone e o usa para infectar os iPhones de um importante provedor de segurança. O atacante deve ter autoconfiança ilimitada. Mas o invasor não esperava o quão seguro é internamente na Kaspersky:
Como a Kaspersky monitora meticulosamente e sempre analisa todas as comunicações em sua própria rede, percebeu-se que vários iPhones estão fazendo coisas estranhas. A campanha APT detectada segmenta dispositivos iOS. Uma análise mais aprofundada revelou que o agente da ameaça havia infectado dispositivos iOS pertencentes a dezenas de funcionários da empresa.
iPhones internos da Kaspersky infectados
🔎 Segundo a Kaspersky, o malware dos iPhones busca contato com diversos servidores de comando e controle.
A investigação da técnica de ataque ainda está em andamento, mas os especialistas da Kaspersky já conseguiram determinar o curso geral da infecção. As vítimas receberam uma mensagem via iMessage com um anexo contendo uma exploração de clique zero. Sem mais interação, a mensagem explorou uma vulnerabilidade que levou à execução do código de escalonamento de privilégios, permitindo controle total sobre o dispositivo infectado. Depois que o invasor conseguiu penetrar no dispositivo, a mensagem foi excluída automaticamente. Além disso, o malware enviava informações privadas para outros servidores, incluindo gravações de microfone, fotos de mensagens instantâneas, dados de localização e outros dados sobre uma série de outras atividades do proprietário do dispositivo infectado.
Portfólio de produtos não infectado
O ataque deve fornecer ao invasor muitas informações. No entanto, os invasores não conseguiram acessar os dados internos para o desenvolvimento ou controle dos produtos Kaspersky. A empresa já analisou isso. A investigação apelidada de Operação Triangulação está em andamento e a Kaspersky planeja divulgar mais detalhes o mais rápido possível. Há também uma suspeita razoável de que existam outras vítimas dessa campanha de espionagem fora da Kaspersky.
Ferramenta gratuita de detecção de malware
Como muitas empresas agora não têm certeza se também foram atacadas, a Kaspersky oferece uma ferramenta de verificação gratuita via GitHub. Portanto, é acessível ao público e disponível para macOS, Windows e Linux. Antes de instalar o programa, os usuários devem primeiro fazer backup do dispositivo; e só então instale e execute a ferramenta. Somente o backup que está sendo analisado é usado para análise. A única maneira de limpar completamente um dispositivo é redefinir o iPhone para as configurações de fábrica, instalar a nova versão do iOS e configurar o dispositivo do zero. No entanto, você deve desativar o iMessage imediatamente.
O programa emite três mensagens:
- 'DETECTOU' confirma que o dispositivo foi infectado.
- 'SUSPEITA' por outro lado, indica a detecção de indicadores menos claros que sugerem uma infecção provável.
- 'Não foram identificados vestígios de compromisso' é exibido quando nenhum indicador de comprometimento (IoCs) foi detectado - e o dispositivo não está infectado.
“Hoje estamos orgulhosos de fornecer uma ferramenta pública gratuita que os usuários podem usar para verificar se são afetados pela ameaça avançada recém-descoberta. Com a plataforma cruzada 'triangle_check', os usuários podem escanear automaticamente seus dispositivos”, comenta Igor Kuznetsov, chefe da unidade EEMEA da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “Pedimos à comunidade de segurança cibernética que una forças para explorar este novo APT para construir um mundo digital mais seguro”.
Quem pode desenvolver esse malware?
Quem tem as habilidades e os meios para desenvolver um programa tão pérfido para uma vulnerabilidade até então desconhecida? Já no Pegasus, que foi desenvolvido pela empresa israelense NSO Group, foi considerado destaque por especialistas. O malware Operation Triangulation é quase menos provável e extremamente difícil de detectar. A Kaspersky teve que desmontar e analisar os backups do dispositivo para encontrar o malware. O tempo dirá se um grupo APT controlado pelo estado pode estar por trás do malware.
Vermelho./sel
Diretamente para a ferramenta de pesquisa Kaspersky.com