Kaspersky révèle des informations sur un logiciel malveillant qui cible les appareils iOS.

SGGPO 30 juin 2023 15:12

Suite aux informations faisant état de l'opération Triangulation ciblant les appareils iOS, les experts de Kaspersky ont levé le voile sur les détails du logiciel espion utilisé lors de l'attaque.

Le logiciel TriangleDB a attaqué des appareils iOS.

Kaspersky a récemment signalé une nouvelle campagne APT (menace persistante avancée) mobile ciblant les appareils iOS via iMessage. Après six mois d'enquête, les chercheurs de Kaspersky ont publié une analyse approfondie de la chaîne d'exploitation et des conclusions détaillées concernant l'activité d'infection par logiciel espion.

Ce logiciel malveillant, nommé TriangleDB, exploite une vulnérabilité pour obtenir un accès root aux appareils iOS. Une fois lancé, il n'opère que dans la mémoire de l'appareil ; toute trace d'infection disparaît donc au redémarrage de ce dernier. Par conséquent, si la victime redémarre son appareil, l'attaquant doit le réinfecter en envoyant un autre iMessage contenant une pièce jointe malveillante, relançant ainsi le processus d'exploitation.

Si l'appareil ne redémarre pas, le logiciel se désinstallera automatiquement au bout de 30 jours, sauf si les attaquants prolongent ce délai. Fonctionnant comme un logiciel espion sophistiqué, TriangleDB assure de nombreuses fonctions de collecte et de surveillance des données.

Le logiciel comprend 24 commandes aux fonctions diverses. Ces commandes servent à différents usages, tels que l'interaction avec le système de fichiers de l'appareil (notamment la création, la modification, l'extraction et la suppression de fichiers), la gestion des processus (liste et arrêt), l'extraction de chaînes de caractères pour recueillir les informations de connexion de la victime et la surveillance de la géolocalisation de la victime.

Lors de l'analyse de TriangleDB, les experts de Kaspersky ont découvert que la classe CRConfig contient une méthode inutilisée nommée popatedWithFieldsMacOSOnly. Bien qu'elle ne soit pas utilisée dans le malware iOS, sa présence suggère un potentiel ciblage des appareils macOS.

Kaspersky recommande aux utilisateurs de prendre les mesures suivantes pour éviter d'être victimes d'attaques ciblées : pour une protection, une investigation et une réponse rapides au niveau des terminaux, utilisez une solution de sécurité d'entreprise fiable, telle que la plateforme Kaspersky Unified Monitoring and Analysis Platform (KUMA) ; mettez à jour les systèmes d'exploitation Microsoft Windows et les logiciels tiers dès que possible et de manière régulière ; fournissez aux équipes SOC un accès aux dernières données de veille sur les menaces (TI). Kaspersky Threat Intelligence est une source d'accès simple aux données TI de l'entreprise, fournissant des données sur les cyberattaques et des rapports de Kaspersky des 20 dernières années ; dotez les équipes de cybersécurité des compétences nécessaires pour faire face aux menaces ciblées les plus récentes grâce à la formation en ligne de Kaspersky, développée par les experts de GreAT ; étant donné que de nombreuses attaques ciblées commencent par des techniques d'hameçonnage ou d'ingénierie sociale, proposez une formation de sensibilisation à la sécurité et des conseils sur les compétences nécessaires aux employés de l'entreprise, tels que la plateforme Kaspersky Automated Security Awareness Platform…

Georgy Kucherin, expert en sécurité au sein du groupe mondial de recherche et d'analyse de Kaspersky, a déclaré : « En approfondissant notre analyse de l'attaque, nous avons découvert que ce logiciel malveillant sophistiqué ciblant iOS présentait plusieurs caractéristiques inhabituelles. Nous poursuivons l'analyse de cette campagne et fournirons prochainement des informations plus détaillées sur cette attaque sophistiquée. Nous invitons la communauté de la cybersécurité à partager ses connaissances et à collaborer afin de mieux appréhender les menaces actuelles. »

Comment (0)