Kaspersky révèle des informations sur un logiciel qui attaque les appareils iOS.

SGGPO 30 juin 2023 15:12

Suite aux informations concernant la campagne « Opération Triangulation » ciblant les appareils iOS, les experts de Kaspersky ont levé le voile sur les détails du logiciel espion utilisé lors de l'attaque.

Le logiciel malveillant TriangleDB a attaqué des appareils iOS

Kaspersky a récemment signalé une nouvelle campagne APT (menace persistante avancée) mobile ciblant les appareils iOS via iMessage. Après six mois d'enquête, les chercheurs de Kaspersky ont publié une analyse approfondie de la chaîne d'exploitation et des conclusions détaillées concernant l'infection par logiciel espion.

Le logiciel, nommé TriangleDB, est déployé en exploitant une vulnérabilité permettant d'obtenir un accès root aux appareils iOS. Une fois lancé, il n'opère que dans la mémoire de l'appareil ; par conséquent, toute trace d'infection disparaît au redémarrage de ce dernier. Ainsi, si la victime redémarre son appareil, l'attaquant doit le réinfecter en envoyant un autre iMessage contenant une pièce jointe malveillante, relançant ainsi l'ensemble du processus d'exploitation.

Si l'appareil n'est pas redémarré, le logiciel se désinstallera automatiquement au bout de 30 jours, sauf si les attaquants prolongent ce délai. Fonctionnant comme un logiciel espion sophistiqué, TriangleDB assure diverses fonctions de collecte et de surveillance des données.

Le logiciel comprend 24 commandes aux fonctions diverses. Ces commandes servent à différents usages, tels que l'interaction avec le système de fichiers de l'appareil (notamment la création, la modification, l'extraction et la suppression de fichiers), la gestion des processus (liste et arrêt), l'extraction de chaînes de caractères pour collecter les identifiants de la victime et la surveillance de la géolocalisation de la victime.

Lors de l'analyse de TriangleDB, les experts de Kaspersky ont découvert que la classe CRConfig contient une méthode inutilisée nommée populateWithFieldsMacOSOnly. Bien qu'elle ne soit pas utilisée dans l'infection iOS, sa présence suggère la possibilité de cibler des appareils macOS.

Kaspersky recommande aux utilisateurs de prendre les mesures suivantes pour éviter d'être victimes d'attaques ciblées : pour la protection des terminaux, les investigations et une réponse rapide, utilisez une solution de sécurité d'entreprise fiable, telle que Kaspersky Unified Monitoring and Analysis Platform (KUMA) ; mettez à jour les systèmes d'exploitation Microsoft Windows et les logiciels tiers dès que possible et régulièrement ; fournissez aux équipes SOC un accès aux dernières informations sur les menaces (TI). Kaspersky Threat Intelligence est une source d'accès simple aux informations sur les menaces d'entreprise, fournissant 20 ans de données, d'informations et de rapports sur les cyberattaques de Kaspersky ; équipez les équipes de cybersécurité pour faire face aux menaces ciblées les plus récentes grâce à la formation en ligne de Kaspersky, développée par les experts de GreAT ; étant donné que de nombreuses attaques ciblées commencent par des techniques d'hameçonnage ou d'ingénierie sociale, proposez des formations de sensibilisation et de formation aux compétences en matière de sécurité aux employés de l'entreprise, telles que la plateforme de sensibilisation automatisée à la sécurité de Kaspersky (KASA).

« En approfondissant notre enquête sur cette attaque, nous avons découvert que cette infection sophistiquée d'iOS présentait plusieurs caractéristiques étranges. Nous poursuivons l'analyse de cette campagne et nous vous tiendrons informés des développements concernant cette attaque sophistiquée. Nous encourageons la communauté de la cybersécurité à partager ses connaissances et à collaborer afin de mieux comprendre les menaces actuelles », a déclaré Georgy Kucherin, expert en sécurité au sein de l'équipe mondiale de recherche et d'analyse de Kaspersky.

Source