0
0
A Apple lançou patches de emergência para duas novas vulnerabilidades de dia zero em seu software que um ator de ameaça persistente avançada (APT) tem usado para implantar malware em uma campanha de espionagem do iOS em andamento apelidada de “Operação Triangulação”.
Enquanto isso, na quarta-feira, a Kaspersky divulgou um novo relatório que forneceu detalhes adicionais sobre o implante de spyware TriangleDB usado na campanha, que sinalizou como contendo uma série de esquisitices, como recursos desativados que poderiam ser implantados em um momento futuro.
De acordo com a empresa, sua análise mostrou que, por enquanto, o malware suporta 24 comandos funcionais que servem a várias finalidades, como criar, modificar, remover e roubar arquivos, listar e encerrar processos, coletar credenciais do chaveiro da vítima e monitorar sua localização.
“Os recursos que encontramos especialmente significativos são as habilidades de ler qualquer arquivo no dispositivo infectado, extrair senhas do chaveiro da vítima e rastrear a geolocalização do dispositivo”, diz Georgy Kucherin, um dos pesquisadores de segurança da Kaspersky que descobriu os bugs de dia zero que a Apple divulgou esta semana.
Um trio de zero-dias
Uma das vulnerabilidades de segurança recentemente abordadas (CVE-2023-32434) afeta várias versões do iOS e oferece aos invasores uma maneira de executar código arbitrário com privilégios de nível de kernel em iPhones e iPads. A outra vulnerabilidade (CVE-2023-32439) existe no navegador WebKit da Apple e permite a execução arbitrária de código por meio de conteúdo da Web criado com códigos maliciosos. Em 21 de junho de 2023, a Apple emitiu atualizações abordando ambas as vulnerabilidades.
Os dois bugs fazem parte de um conjunto de três zero-days da Apple que os pesquisadores da Kaspersky descobriram até agora ao investigar a Operação Triangulação. A investigação começou há cerca de sete meses, quando a empresa de segurança detectou várias dezenas de dispositivos iOS em sua rede Wi-Fi corporativa se comportando de maneira suspeita.
A empresa divulgou um relatório sobre sua análise inicial da atividade maliciosa, no início de junho. Na época, a Kaspersky descreveu os invasores como provavelmente explorando várias vulnerabilidades no software da Apple para entregar o implante de spyware TriangleDB em dispositivos iOS pertencentes a usuários iOS visados. Os pesquisadores da empresa identificaram a primeira das falhas como CVE-2022-46690, um problema fora dos limites que permitia que um aplicativo executasse código arbitrário no nível do kernel. A Kaspersky descreveu o malware em si como sendo executado com privilégios de root, capaz de executar código arbitrário em dispositivos afetados e implementar um conjunto de comandos para coletar informações do sistema e do usuário.
A leitura de arquivos no dispositivo infectado permite que os invasores tenham acesso a informações confidenciais, como fotos, vídeos, e-mails, bem como bancos de dados contendo conversas de aplicativos de mensagens, diz Kucherin. Os recursos de despejo de chaves do TriangleDBs permitem que os invasores coletem as senhas da vítima e, em seguida, as usem para acessar várias contas de propriedade da vítima.
TriangeDB mostra comportamento curioso de spyware
Curiosamente, o implante solicita vários privilégios do sistema operacional (em dispositivos infectados) sem nenhuma maneira óbvia de usar as informações, diz Kucherin. Exemplos de privilégios que o malware solicita, mas não usa no momento, incluem acesso ao microfone, à câmera e ao catálogo de endereços.
“Esses recursos poderão ser implementados em módulos auxiliares que poderão ser carregados pelo implante”, em algum momento futuro, observa.
Outra descoberta significativa que a Kaspersky fez ao analisar o TriangleDB é o fato de que os invasores por trás do malware também estão de olho nos usuários do macOS visados. “Talvez a descoberta mais interessante seja o método ‘populateWithFieldsMacOSOnly’ que encontramos no implante”, diz Kucherin. “Sua existência significa que implantes semelhantes podem ser usados para atingir não apenas dispositivos iOS, mas também computadores Mac.”
A Kaspersky avaliou que foi vítima de um ataque direcionado, mas provavelmente não o único. A equipe de inteligência do Serviço Federal de Segurança da Rússia (FSB) alegou – sem fornecer nenhuma prova – que a Agência de Segurança Nacional dos EUA (NSA), provavelmente em conluio com a Apple, está por trás do malware e da operação de espionagem. A agência acusou os dois de instalar o spyware em milhares de dispositivos iOS pertencentes a diplomatas russos e indivíduos afiliados à Rússia de suposto interesse para o governo dos EUA. Em um tom que lembra as acusações dos EUA contra a Rússia e a China, o Ministério das Relações Exteriores da Rússia descreveu a campanha de spyware iOS como parte de um esforço de décadas para coletar “dados em grande escala de usuários da Internet” sem sua permissão ou conhecimento.
Tanto a NSA quanto a Apple rejeitaram essas alegações.
A Kaspersky lançou um utilitário chamado “triangle_check” que as organizações podem usar para procurar sinais do implante de spyware em seus dispositivos iOS.
FONTE: DARK READING