El implante TriangleDB utilizado para apuntar a dispositivos Apple iOS incluye al menos cuatro módulos diferentes para grabar el micrófono, extraer el llavero de iCloud, robar datos de las bases de datos SQLite utilizadas por varias aplicaciones y estimar la ubicación de la víctima.
Los hallazgos provienen de Kaspersky, que detalló los grandes esfuerzos del adversario detrás de la campaña, denominada Operación Triangulaciónfue a ocultar y cubrir sus huellas mientras aspiraba clandestinamente información confidencial de los dispositivos comprometidos.
El sofisticado ataque salió a la luz por primera vez en junio de 2023, cuando se supo que iOS había sido objetivo de un exploit de clic cero que aprovechaba las fallas de seguridad de día cero (CVE-2023-32434 y CVE-2023-32435) que aprovecha la plataforma iMessage. para entregar un archivo adjunto malicioso que puede obtener control total sobre el dispositivo y los datos del usuario.
Actualmente se desconoce la escala y la identidad del actor de la amenaza, aunque el propio Kaspersky se convirtió en uno de los objetivos a principios de año, lo que lo llevó a investigar los diversos componentes de lo que decía en una amenaza persistente avanzada (APT) con todas las funciones. plataforma.
El núcleo del marco de ataque constituye una puerta trasera llamada TriangleDB que se implementa después de que los atacantes obtienen privilegios de root en el dispositivo iOS objetivo mediante la explotación de CVE-2023-32434, una vulnerabilidad del kernel de la que se podría abusar para ejecutar código arbitrario.
Ahora, según la empresa rusa de ciberseguridad, el despliegue del implante está precedido por dos etapas de validación, a saber, el validador JavaScript y el validador binario, que se ejecutan para determinar si el dispositivo objetivo no está asociado con un entorno de investigación.
«Estos validadores recopilan información diversa sobre el dispositivo de la víctima y la envían al servidor C2», dijeron los investigadores de Kaspersky Georgy Kucherin, Leonid Bezvershenko y Valentin Pashkov. dicho en un informe técnico publicado el lunes.
«Esta información se utiliza luego para evaluar si el iPhone o iPad al que se le implantará TriangleDB podría ser un dispositivo de investigación. Al realizar tales comprobaciones, los atacantes pueden asegurarse de que sus exploits de día cero y el implante no se quemen».
A modo de contexto: el punto de partida de la cadena de ataque es un archivo adjunto invisible de iMessage que recibe la víctima, que desencadena una cadena de explotación sin clic diseñada para abrir sigilosamente una URL única que contiene JavaScript ofuscado y una carga útil cifrada.
La carga útil es el validador de JavaScript que, además de realizar varias operaciones aritméticas y verificar la presencia de Media Source API y WebAssembly, realiza una técnica de toma de huellas digitales del navegador llamada huellas digitales en lienzo dibujando un triángulo amarillo sobre un fondo rosa con WebGL y calculando su suma de comprobación.
La información recopilada tras este paso se transmite a un servidor remoto para recibir, a cambio, un malware desconocido de siguiente etapa. También se entrega después de una serie de pasos indeterminados un Validador binario, un archivo binario Mach-O que lleva a cabo las siguientes operaciones:
- Elimine los registros de fallos del directorio /private/var/mobile/Library/Logs/CrashReporter para borrar rastros de posible explotación
- Elimine la evidencia del archivo adjunto malicioso de iMessage enviado desde 36 direcciones de correo electrónico de Gmail, Outlook y Yahoo diferentes controladas por atacantes.
- Obtener una lista de procesos que se ejecutan en el dispositivo y las interfaces de red
- Compruebe si el dispositivo objetivo tiene jailbreak
- Activar el seguimiento de anuncios personalizado
- Recopile información sobre el dispositivo (nombre de usuario, número de teléfono, IMEI e ID de Apple) y
- Recuperar una lista de aplicaciones instaladas
«Lo interesante de estas acciones es que el validador las implementa tanto para sistemas iOS como macOS», dijeron los investigadores, y agregaron que los resultados de las acciones antes mencionadas se cifran y se exfiltran a un servidor de comando y control (C2) para recuperar el Implante TriangleDB.
Uno de los primeros pasos que toma la puerta trasera es establecer comunicación con el servidor C2 y enviar un latido, recibiendo posteriormente comandos que eliminan el registro de fallas y los archivos de la base de datos para cubrir el rastro forense y obstaculizar el análisis.
También se envían al implante instrucciones para extraer periódicamente archivos del directorio /private/var/tmp que contienen ubicación, llavero de iCloud, datos relacionados con SQL y grabados con micrófono.
Una característica notable del módulo de grabación del micrófono es su capacidad de suspender la grabación cuando la pantalla del dispositivo está encendida, lo que indica la intención del actor de la amenaza de pasar desapercibido.
Es más, el módulo de monitoreo de ubicación está diseñado para utilizar datos GSM, como el código de país móvil (MCC), código de red móvil (MNC) y código de área de ubicación (LACA), para triangular la ubicación de la víctima cuando los datos del GPS no están disponibles.
«El adversario detrás de la Triangulación tuvo mucho cuidado para evitar ser detectado», dijeron los investigadores. «Los atacantes también demostraron un gran conocimiento de los aspectos internos de iOS, ya que utilizaron API privadas no documentadas en el curso del ataque».