La firma de ciberseguridad Kaspersky ha lanzado una herramienta para detectar si los iPhones de Apple y otros dispositivos iOS están infectados con un nuevo malware de 'Triangulación'.
Kaspersky descubrió este malware en su propia red e informó que ha infectado varios dispositivos iOS en sus instalaciones en todo el mundo desde al menos 2019.
Aunque el análisis de malware aún está en curso, la firma de seguridad cibernética señaló que la campaña de malware 'Operation Triangulation' utiliza un exploit de día cero desconocido en iMessage para realizar la ejecución de código sin interacción del usuario y privilegios elevados.
Esto permite que el ataque descargue más cargas útiles en el dispositivo para una mayor ejecución de comandos y recopilación de información.
También cabe señalar que el FSB, el servicio de inteligencia y seguridad de Rusia, vinculó el malware con infecciones de altos funcionarios gubernamentales y diplomáticos extranjeros.
En el informe original , Kaspersky proporcionó bastantes detalles sobre la verificación manual de las copias de seguridad del dispositivo iOS en busca de posibles indicadores de compromiso por parte de este malware desconocido mediante el kit de herramientas de verificación móvil (MVT).
Sin embargo, la firma de seguridad ahora ha lanzado un escáner de triangulación automatizado más fácil de usar para Windows y Linux.
El escáner Triangle iOS
iOS solo se puede analizar como una copia de seguridad, ya que los diversos mecanismos de seguridad de Apple (sandboxing, cifrado de datos, firma de código) evitan el análisis del sistema en vivo.
Por lo tanto, los usuarios primero deben hacer una copia de seguridad de sus dispositivos iOS siguiendo estos pasos según su sistema operativo:
Windows:
- Conecta tu dispositivo a una computadora que tenga iTunes instalado. Desbloquee su dispositivo y, si es necesario, confirme que confía en su computadora.
- Su dispositivo ahora debería mostrarse en iTunes. Haz clic derecho sobre él y presiona "Copia de seguridad".
- La copia de seguridad creada se guardará en el directorio %appdata%\Apple Computer\MobileSync\Backup.
Creación de una copia de seguridad de iOS a través de iTunes (Kaspersky)Mac OS:
- Conecte su dispositivo a la computadora y, si es necesario, confirme que confía en la computadora.
- Su dispositivo ahora debería mostrarse en Finder. Selecciónelo y luego haga clic en "Crear una copia de seguridad".
- La copia de seguridad creada se guardará en el directorio ~/Library/Application Support/MobileSync/Backup/.
Linux:
- Instale la biblioteca " libimobiledevice ".
- Conecte su dispositivo a la computadora y puede crear una copia de seguridad usando el comando "idevicebackup2 backup --full".
- Durante el proceso de copia de seguridad, ingrese la contraseña de su dispositivo según lo solicitado.
El siguiente paso es usar el escáner 'triangle_check' de Kaspersky para analizar las copias de seguridad de iOS.
Kaspersky ha lanzado el escáner como compilaciones binarias para Windows y Linux y un paquete Python multiplataforma disponible a través de PyPI .
Paquete de Python:
- Obtenga 'triangle_check' de PyPI usando el siguiente comando: python -m pip install Triangle_check
- Alternativamente, la herramienta se puede construir desde GitHub ejecutando:
- clon de git https://github.com/KasperskyLab/triangle_check
- cd triángulo_cheque
- python -m construir
- python -m pip install dist/triangle_check-1.0-py3-none-any.whl
Después de eso, use este comando para iniciar la herramienta: python -m Triangle_check ruta a la copia de seguridad creada.
Binario de Windows:
El binario de Windows está disponible a través del repositorio público de GitHub de Kaspersky . Para usarlo, sigue estas instrucciones:
- Descargue el archivo Triangle_check_win.zip de la página de lanzamientos de GitHub y descomprímalo.
- Inicie el símbolo del sistema (cmd.exe) o PowerShell.
- Cambie su directorio al que tiene el archivo desempaquetado (por ejemplo, cd %perfil de usuario%\Descargas\triangle_check_win).
- Inicie Triangle_check.exe, especificando la ruta a la copia de seguridad como argumento (p. ej., Triangle_check.exe "%appdata%\Apple Computer\MobileSync\Backup\00008101-000824411441001E-20230530-143718").
binario de Linux:
El binario de Linux está disponible a través del repositorio público de GitHub de Kaspersky . Para usarlo, sigue estas instrucciones:
- Descargue el archivo Triangle_check_win.zip de la página de lanzamientos de GitHub y descomprímalo.
- Inicie la terminal.
- Cambie su directorio al que tiene el archivo desempaquetado (por ejemplo, cd ~/Downloads/triangle_check_linux).
- Permita que la utilidad se ejecute con el comando "chmod +x Triangle_check".
- Inicie la utilidad, especificando la ruta a la copia de seguridad como argumento (p. ej., ./triangle_check ~/Desktop/my_backup/00008101-000824411441001E-20230530-143718).
Cuando se inicia y apunta a la ruta de respaldo de iOS, la herramienta Triangle_check generará uno de los siguientes resultados de escaneo:
- DETECTADO : Significa que el malware "Operación Triangulación" ha infectado el dispositivo sin lugar a dudas.
- SOSPECHA : el escáner ha encontrado algunos indicadores de compromiso que apuntan a una posible infección, pero no hay pruebas suficientes para respaldar un resultado concluyente.
- No se identificaron rastros de compromiso : el escáner no ha detectado ningún signo de compromiso para la familia de malware en particular.
Tenga en cuenta que es posible que no se confíe plenamente en los resultados anteriores, especialmente los negativos, ni se los trate como garantías definitivas de que el dispositivo está limpio.
A medida que el análisis del malware está en curso, es posible que más adelante se descubran indicadores adicionales de compromiso o incluso una variante más nueva que infecta las versiones más recientes de iOS.
Una campaña de malware dirigida
Por lo general, las campañas de distribución de malware impulsadas por el espionaje, como "Operation Triangulation", se dirigen a personas o empresas específicas en lugar de a la población en general, por lo que la mayoría de las personas que usan el verificador deberían obtener un resultado limpio.
Sin embargo, la herramienta de Kaspersky podría ser útil para las personas que desempeñan funciones críticas en organizaciones importantes, las personas con mayor riesgo de espionaje patrocinado por el estado y quienes trabajan en empresas o servicios que actúan como centros de información.
Actualmente, se desconoce el origen exacto del malware y los orquestadores de la Operación Triangulación; por lo tanto, no se ha determinado el alcance de la focalización y la victimología.
