Nova ferramenta escaneia iPhones em busca de infecção por malware 'Triangulation'
6 de Junho de 2023

A empresa de cibersegurança Kaspersky lançou uma ferramenta para detectar se iPhones Apple e outros dispositivos iOS estão infectados com um novo malware chamado 'Triangulation'.

Esse malware foi descoberto pela Kaspersky em sua própria rede, relatando que infectou vários dispositivos iOS em suas instalações em todo o mundo desde pelo menos 2019.

Embora a análise do malware ainda esteja em andamento, a empresa de cibersegurança observou que a campanha de malware 'Operation Triangulation' usa uma exploração zero-day desconhecida no iMessage para executar código sem interação do usuário e com privilégios elevados.

Isso permite que o ataque faça o download de cargas úteis adicionais para o dispositivo para execução de comandos adicionais e coleta de informações.

Também deve ser observado que o FSB, o serviço de inteligência e segurança da Rússia, vinculou o malware a infecções de altos funcionários do governo e diplomatas estrangeiros.

No relatório original, a Kaspersky forneceu muitos detalhes sobre a verificação manual de backups de dispositivos iOS em busca de possíveis indicadores de comprometimento por esse malware desconhecido usando o Mobile Verification Toolkit (MVT).

No entanto, a empresa de segurança agora lançou um scanner de Triangulation automatizado e mais fácil de usar para Windows e Linux.

O iOS só pode ser analisado como backup, pois os vários mecanismos de segurança da Apple (sandboxing, criptografia de dados, assinatura de código) impedem a análise do sistema ao vivo.

Assim, os usuários precisam primeiro fazer backup de seus dispositivos iOS seguindo estas etapas, dependendo do sistema operacional.

O próximo passo é usar o scanner 'triangle_check' da Kaspersky para analisar os backups do iOS.

A Kaspersky lançou o scanner como builds binários para Windows e Linux e um pacote Python multiplataforma disponível pelo PyPI.

Depois disso, use este comando para iniciar a ferramenta: python -m triangle_check caminho para o backup criado.

O binário do Windows está disponível no repositório público do GitHub da Kaspersky.

Para usá-lo, siga estas instruções.

O binário do Linux está disponível no repositório público do GitHub da Kaspersky.

Para usá-lo, siga estas instruções.

Quando lançada e apontada para o caminho do backup do iOS, a ferramenta triangle_check emitirá um dos seguintes resultados de verificação.

Observe que os resultados acima, especialmente os negativos, podem não ser totalmente confiáveis ou tratados como garantias definitivas de que o dispositivo está limpo.

À medida que a análise do malware continua, indicadores adicionais de comprometimento ou até uma nova variante que infecta lançamentos mais recentes do iOS podem ser descobertos posteriormente.

Tipicamente, campanhas de distribuição de malware impulsionadas pela espionagem, como a "Operação Triangulation", visam indivíduos ou empresas específicas em vez da população em geral, então a maioria das pessoas que usam o verificador deve obter um resultado limpo.

No entanto, a ferramenta da Kaspersky pode ser útil para pessoas que ocupam cargos críticos em organizações importantes, indivíduos com risco elevado de espionagem patrocinada pelo estado e aqueles que trabalham em empresas ou serviços que atuam como centros de informações.

Atualmente, a origem exata do malware e os orquestradores da Operation Triangulation permanecem desconhecidos; portanto, o escopo de segmentação e a victimologia não foram determinados.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...