.
Quem quer que esteja infectando os iPhones das pessoas com o spyware TriangleDB pode ter como alvo computadores macOS com malware semelhante, de acordo com pesquisadores da Kaspersky.
Na análise contínua da loja de segurança da campanha de espionagem de smartphones – durante a qual os invasores exploram uma vulnerabilidade do kernel para obter privilégios de root e instalar o TriangleDB nos aparelhos das vítimas – os analistas da Kaspersky descobriram 24 comandos fornecidos pelo malware que podem ser usados para uma série de atividades ilícitas ; tudo, desde o roubo de dados até o rastreamento da geolocalização da vítima e o encerramento de processos.
O TriangleDB é o spyware misterioso que a Kaspersky descobriu rodando em seus próprios dispositivos de gerenciamento.
Os analistas também identificaram um método chamado populateWithFieldsMacOSOnly na classe CRConfig, que é utilizada para armazenar a configuração do implante. Essa função não é usada quando o código é implantado no iPhone de um alvo, embora sugira que haja uma variante do macOS ou uma compilação do spyware, nos disseram.
“Este método não é chamado em nenhum lugar no implante iOS; no entanto, sua existência significa que os dispositivos macOS também podem ser alvo de um implante semelhante”, escreveram Georgy Kucherin, Leonid Bezvershenko e Igor Kuznetsov em pesquisar publicado hoje.
Também hoje, a Apple empurrou atualizações de software para corrigir a vulnerabilidade do kernel descoberta pelos pesquisadores da Kaspersky durante a análise do TriangleDB. As atualizações corrigem CVE-2023-32434 em quase todos os modelos de iPhone e iPad, bem como Apple Watches série 3 e posteriores e computadores executando macOS Ventura, Monterey e Big Sur.
A Apple credita a Kucherin, Bezvershenko e Kuznetsov a descoberta da falha, e a atualização de segurança observa que “a Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS lançadas antes do iOS 15.7”.
Embora a análise inicial da campanha de spyware da Kaspersky não tenha encontrado nenhuma indicação de que o exploit comprometeu com sucesso os dispositivos que executam versões do iOS desde o iOS 15.7, um mergulho mais profundo na cadeia de exploração descobriu que os estágios posteriores do exploit ainda funcionavam.
As correções de hoje garantem que os estágios posteriores da exploração não possam ser usados em ataques separados, de acordo com um porta-voz da Apple. Os patches também abordam outras vulnerabilidades, como uma falha no Webkit (CVE-2023-32439) no iOS e macOS que foi relatada por uma fonte anônima e também pode ter sido explorada na natureza.
Operação Triangulação
Kaspersky disse em 1º de junho, descobriu o TriangleDB, um spyware até então desconhecido, em “várias dezenas” de iPhones pertencentes à alta e média gerência da gigante russa de segurança da informação. Ele apelidou a campanha de espionagem de Operação Triangulação.
Também em 1º de junho, a inteligência russa acusou bisbilhoteiros americanos e a Apple de trabalharem juntos para fazer backdoor de iPhones para espionar “milhares” de diplomatas em todo o mundo. O Serviço Federal de Segurança do Kremlin (FSB) não forneceu nenhuma prova ao lado dessas alegações. Na época, um porta-voz da Kaspersky disse Strong The One estava ciente das alegações do FSB, mas não poderia dizer se as duas coisas – a América supostamente fazendo backdoor de iPhones e o spyware encontrado em vários dispositivos Kaspersky – estavam ligadas.
Desde o relatório inicial de triangulação, a Kaspersky lançou um utilitáriotriangle_check que procura automaticamente nos equipamentos por infecções do snoopware.
A pesquisa de hoje segue uma investigação de seis meses sobre a operação, bem como uma análise profunda da cadeia de exploração.
Quando perguntado se o implante foi detectado em iPhones pertencentes a funcionários que não são da Kaspersky, um porta-voz disse Strong The One: “É importante observar que só podemos divulgar informações sobre as infecções detectadas por nós no ataque aos funcionários da Kaspersky.”
Os pesquisadores ainda não atribuíram a campanha de espionagem a nenhuma equipe ou nação em particular. “A julgar pelas características do ataque cibernético, não podemos vincular esta campanha de ciberespionagem a qualquer agente de ameaça existente”, acrescentou o porta-voz.
Aqui está o que a equipe descobriu sobre o TriangleDB.
Mergulhe fundo no TriangleDB
Como eles discutiram anteriormente, a exploração começa com um iMessage contendo um anexo malicioso; simplesmente receber essa mensagem é suficiente para infectar um dispositivo iOS vulnerável. A carga útil da mensagem é projetada para eventualmente explorar uma brecha de segurança no nível do kernel para obter privilégios de root, permitindo controle completo sobre o sistema. O código parece estar escrito em Objective-C.
O código implanta o spyware TriangleDB na memória, de modo que os bisbilhoteiros precisam reinfectar um dispositivo de destino se a vítima reiniciar o iPhone. Se não houver reinicialização, o implante será removido após 30 dias, a menos que o invasor o estenda.
Depois de iniciado, o malware começa a se comunicar com um servidor de comando e controle usando a biblioteca Protobuf. Todas as mensagens são criptografadas com 3DES e RSA via conexões HTTPS.
O implante envia pings de pulsação para o servidor C2 com informações do sistema, e o servidor responde a essas mensagens com comandos, todos com nomes começando com CRX.
Os pesquisadores da Kaspersky analisaram duas dúzias desses comandos e disseram que podem ser usados para fazer o spyware interagir com processos e o sistema de arquivos para criar e remover arquivos. Esses comandos também podem monitorar a geolocalização do iPhone e despejar os itens de chaveiro da vítima, o que permite que os invasores coletem credenciais. Além disso, eles podem executar módulos adicionais, que, novamente, são armazenados apenas na memória.
Também é importante notar que o implante solicita várias permissões do sistema operacional, e algumas delas não são usadas no código. Isso inclui acesso à câmera, ao microfone e à agenda de endereços do dispositivo, juntamente com a permissão para interagir com outros dispositivos via Bluetooth.
A Kaspersky diz que isso provavelmente significa que essas funcionalidades são implementadas em módulos. ®
.
