Nuevo malware desconocido ataca dispositivos iOS: lo que debes saber

La empresa de ciberseguridad con sede en Moscú, Kaspersky, afirma que los dispositivos iOS están siendo objetivo de un malware desconocido hasta ahora. La firma descubrió la amenaza mientras monitoreaba el tráfico de red de su propia red Wi-Fi corporativa.

Kaspersky está llamando a la nueva campaña "Operación Triangulación". El informe de la campaña revela cómo funciona el ataque y detalla las propiedades técnicas de la explotación. Los investigadores de Kaspersky aseguran que el rastro más antiguo de infección se remonta a 2019, con ataques que aún continúan hasta 2023 y que afectan a versiones hasta iOS 15.7.

El informe del ataque de Kaspersky ha causado controversia, ya que el Servicio de Seguridad Federal de Rusia afirma que miles de rusos, incluidos diplomáticos extranjeros y funcionarios gubernamentales, fueron blanco y se vieron comprometidos por el malware. El Servicio de Seguridad Federal de Rusia ha acusado a Apple y a la Agencia de Seguridad Nacional de EE. UU. de ser los cerebros detrás de los ataques, pero Apple ha negado esta afirmación.

¿Cómo funciona este ataque de clic-cero?

La nueva vulnerabilidad de seguridad de iOS es un ataque de clic-cero. A diferencia de la mayoría de los ataques de malware que requieren que los usuarios realicen alguna acción, como descargar un archivo o hacer clic en un enlace, los ataques de clic-cero se ejecutan automáticamente, sin necesidad de ninguna acción por parte de los usuarios.

Kaspersky reconstruyó la secuencia de infección al analizar la línea de tiempo de sus dispositivos móviles comprometidos.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El ataque comienza cuando el dispositivo iOS objetivo recibe un mensaje a través del servicio iMessage. El mensaje enviado incluirá un adjunto que contiene la explotación. Sin ninguna interacción por parte del usuario, cuando se recibe el mensaje, se desencadena una vulnerabilidad que lleva a la ejecución de código.

El código dentro de la explotación descarga varias etapas posteriores desde el servidor de comando y control controlado por el ciberdelincuente, incluidas otras explotaciones para el escalado de privilegios.

Una vez que la explotación es exitosa, se descarga una carga final desde el servidor de comando y control. El malware elimina el mensaje inicial y el adjunto de explotación.

"La herramienta maliciosa no admite la persistencia, probablemente debido a las limitaciones del sistema operativo", dijo Kaspersky en el informe. Sin embargo, el análisis de las líneas de tiempo de múltiples dispositivos iOS señala una posible reinfección después de reiniciar el dispositivo.

Kaspersky agregó que el análisis final de la carga útil aún no está completo. La empresa afirma que el código de amenaza se ejecuta con privilegios de root e implementa un conjunto de comandos para recopilar información del sistema y del usuario. También puede ejecutar código arbitrario descargado como módulos de complemento desde el servidor de comando y control.

Análisis forense con la Herramienta de Verificación Móvil

Kaspersky explica que, debido a que los dispositivos iOS no se pueden inspeccionar desde el interior, es necesario crear copias de seguridad en línea de los dispositivos para descubrir la amenaza. Estas copias de seguridad se inspeccionan utilizando la Herramienta de Verificación Móvil, que permite el análisis forense de dispositivos Android e iOS y se utiliza para identificar rastros de compromiso.

Cómo proteger tu computadora de los virus: métodos y consejos

La copia de seguridad del dispositivo móvil contendrá una copia parcial del sistema de archivos y algunas bases de datos de servicios y usuarios. Las marcas de tiempo de los archivos, carpetas y registros de bases de datos permiten reconstruir aproximadamente los eventos que suceden en el dispositivo. La Herramienta de Verificación Móvil puede generar una línea de tiempo ordenada de los eventos en un archivo llamado timeline.csv; esta línea de tiempo se puede utilizar para identificar la amenaza y su comportamiento.

Aunque el ataque oculta sus rastros eliminando el mensaje inicial y la explotación adjunta, aún es posible identificar si un dispositivo ha sido comprometido mediante el análisis de la línea de tiempo.

Según Kaspersky, el malware también se puede transferir desde una copia de seguridad de iTunes.

"Si se configuró un nuevo dispositivo migrando los datos del usuario desde un dispositivo anterior, la copia de seguridad de iTunes de ese dispositivo contendrá los rastros de compromiso que sucedieron en ambos dispositivos, con marcas de tiempo correctas", dijo la empresa.

Cómo verificar los dispositivos iOS en busca de rastros de malware

Para verificar los dispositivos iOS en busca de rastros de compromiso, se deben seguir una serie de procedimientos.

Primero, para verificar un dispositivo iOS en busca de rastros de malware, se debe crear una copia de seguridad. Esto se puede hacer utilizando iTunes o una utilidad de código abierto como idevicebackup2.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Para crear una copia de seguridad con idevicebackup2, ejecute el siguiente comando:

idevicebackup2 backup --full $directorio_de_copia_de_seguridad

Es posible que los usuarios deban ingresar el código de seguridad de su dispositivo varias veces. Dependiendo de la cantidad de datos almacenados en el dispositivo iOS, el proceso de copia de seguridad puede llevar minutos u horas.

Una vez completada la copia de seguridad, se debe instalar la Herramienta de Verificación Móvil para procesar la copia de seguridad. Si Python 3 está instalado en el sistema, ejecute el siguiente comando:

pip install mvt

Si el propietario del dispositivo iOS ha habilitado el cifrado, la copia de seguridad debe ser desencriptada utilizando el siguiente comando:

Protege tus contraseñas con PAM: Tu aliado para la seguridad

mvt-ios decrypt-backup -d $directorio_de_copia_de_seguridad_desencriptada $directorio_de_copia_de_seguridad

Para ejecutar todas las verificaciones utilizando la Herramienta de Verificación Móvil, utilice el siguiente comando:

mvt-ios check-backup -o $directorio_de_salida_mvt $directorio_de_copia_de_seguridad_desencriptada

El directorio de salida contendrá varios archivos JSON y CSV. Para analizar la línea de tiempo, se utilizará el archivo llamado timeline.csv.

Indicadores de compromiso en la línea de tiempo

Al verificar el archivo timeline.csv, Kaspersky descubrió que el indicador más confiable de un compromiso fue un proceso llamado BackupAgent en las líneas de uso de datos. Este proceso no debería aparecer en una línea de tiempo en circunstancias normales.

Nota: El proceso binario BackupAgent2 no es un indicador de compromiso.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Al analizar el archivo de línea de tiempo, Kaspersky encontró que el proceso BackupAgent está precedido por el proceso IMTransferAgent (Figura A).

Figura A

El proceso IMTransferAgent descarga el adjunto, que en este caso es la explotación. Esta descarga conduce a la modificación de las marcas de tiempo de varios directorios en Library/SMS/Attachments. El adjunto luego se elimina, dejando solo directorios modificados sin archivos reales dentro de ellos.

Otros indicadores de compromiso, si se encuentran varios que hayan ocurrido dentro de minutos del marco de tiempo, incluyen:

• Modificación de uno o varios archivos: com.apple.ImageIO.plist, com.apple.locationd.StatusBarIconManager.plist, com.apple.imservice.ids.FaceTime.plist.
• Información de uso de datos de los servicios: com.apple.WebKit.WebContent, powerd/com.apple.datausage.diagnostics, lockdownd/com.apple.datausage.security (Figura B).

Figura B

¡Alerta! Un nuevo gusano de Linux está propagándose

Otro conjunto de eventos que ocurren dentro de uno a tres minutos revela el compromiso de clic-cero exitoso a través del adjunto de iMessage, comenzando con la modificación de un directorio de adjuntos de SMS (pero sin nombre de adjunto), seguido del uso de datos de com.apple.WebKit.WebContent, seguido de la modificación de com.apple.locationd.StatusBarIconManager.plist (Figura C).

Figura C

Actividad de red durante la explotación

El ataque también genera rastros que se pueden identificar a nivel de red. Estos rastros aparecen como una secuencia de varios eventos de conexión HTTPS.

El análisis de la red muestra actividad debido a la interacción con el servicio de iMessage en los nombres de dominio *.ess.apple.com, icloud-content.com, content.icloud.com para descargar el adjunto de iMessage que contiene la explotación y múltiples conexiones con computadoras controladas por el ciberdelincuente con una cantidad significativa de tráfico saliente (Figura D).

Cuánto cuesta instalar y mantener un firewall empresarial

Figura D

La lista de dominios utilizados por las explotaciones incluye:

• addatamarket[.]net
• backuprabbit[.]com
• businessvideonews[.]com
• cloudsponcer[.]com
• datamarketplace[.]net
• mobilegamerstats[.]com
• snoweeanalytics[.]com
• tagclick-cdn[.]com
• topographyupdates[.]com
• unlimitedteacup[.]com
• virtuallaughing[.]com
• web-trackers[.]com
• growthtransport[.]com
• anstv[.]net
• ans7tv[.]nett of outgoing traffic

Cómo protegerse del spyware de clic-cero

El fundador de Kaspersky, Eugene Kaspersky, dijo en Twitter que el ataque "transmite información privada a servidores remotos: grabaciones de micrófono, fotos de mensajeros instantáneos, geolocalización y datos sobre una serie de otras actividades".

Esto alinearía el malware con otros spyware de clic-cero como Pegasus.

Tras el informe de Kaspersky sobre la Operación Triangulación publicado el 2 de junio, la empresa lanzó una utilidad especial llamada "triangle_check" que busca automáticamente la infección por malware. La herramienta se comparte públicamente en GitHub y está disponible para macOS, Windows y Linux.

Cómo protegerse del ingeniero social: consejos y técnicas para evitar ser manipulado.

"Hoy, nos enorgullece lanzar una herramienta pública gratuita que permite a los usuarios verificar si fueron víctimas de la nueva amenaza sofisticada", dijo Igor Kuznetsov, jefe de la unidad de EEMEA en Kaspersky Global Research and Analysis Team, en un comunicado de prensa. "Con capacidades multiplataforma, "triangle_check" permite a los usuarios escanear sus dispositivos automáticamente. Instamos a la comunidad de ciberseguridad a unir fuerzas en la investigación de la nueva APT para construir un mundo digital más seguro".

Aunque el propósito de un spyware es actuar en segundo plano sin que el usuario lo note, hay several signos claros a los que hay que prestar atención, como:

• Conexión de red lenta o uso de memoria sospechoso alto: El spyware necesita comunicarse con el atacante, transmitir y enviar datos, lo cual puede hacer que tu teléfono se ralentice, se congele o se apague.
• La batería del teléfono se agota más rápidamente de lo habitual: Esto se debe a la actividad adicional que ocurre sin tu consentimiento.

Desafortunadamente, proteger un dispositivo iOS contra ataques de clic-cero sigue siendo complicado, ya que este tipo de malware es altamente sofisticado. La mejor práctica es mantener tu iOS actualizado. También se recomienda aprovechar al máximo tus configuraciones de privacidad y seguridad integradas.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevo malware desconocido ataca dispositivos iOS: lo que debes saber , tenemos lo ultimo en tecnología 2023.