{"id":1013511,"date":"2023-10-24T19:49:03","date_gmt":"2023-10-24T19:49:03","guid":{"rendered":"https:\/\/teknomers.com\/es\/ataques-de-dia-cero-en-ios-los-expertos-descubren-conocimientos-mas-profundos-sobre-la-triangulacion-de-operaciones\/"},"modified":"2023-10-24T19:49:07","modified_gmt":"2023-10-24T19:49:07","slug":"ataques-de-dia-cero-en-ios-los-expertos-descubren-conocimientos-mas-profundos-sobre-la-triangulacion-de-operaciones","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ataques-de-dia-cero-en-ios-los-expertos-descubren-conocimientos-mas-profundos-sobre-la-triangulacion-de-operaciones\/","title":{"rendered":"Ataques de d\u00eda cero en iOS: los expertos descubren conocimientos m\u00e1s profundos sobre la triangulaci\u00f3n de operaciones"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de octubre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">D\u00eda Cero \/ Seguridad M\u00f3vil<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Ataques-de-dia-cero-en-iOS-los-expertos-descubren-conocimientos.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El implante TriangleDB utilizado para apuntar a dispositivos Apple iOS incluye al menos cuatro m\u00f3dulos diferentes para grabar el micr\u00f3fono, extraer el llavero de iCloud, robar datos de las bases de datos SQLite utilizadas por varias aplicaciones y estimar la ubicaci\u00f3n de la v\u00edctima.<\/p>\n<p>Los hallazgos provienen de Kaspersky, que detall\u00f3 los grandes esfuerzos del adversario detr\u00e1s de la campa\u00f1a, denominada <strong>Operaci\u00f3n Triangulaci\u00f3n<\/strong>fue a ocultar y cubrir sus huellas mientras aspiraba clandestinamente informaci\u00f3n confidencial de los dispositivos comprometidos.<\/p>\n<p>El sofisticado ataque sali\u00f3 a la luz por primera vez en junio de 2023, cuando se supo que iOS hab\u00eda sido objetivo de un exploit de clic cero que aprovechaba las fallas de seguridad de d\u00eda cero (CVE-2023-32434 y CVE-2023-32435) que aprovecha la plataforma iMessage. para entregar un archivo adjunto malicioso que puede obtener control total sobre el dispositivo y los datos del usuario.<\/p>\n<p>Actualmente se desconoce la escala y la identidad del actor de la amenaza, aunque el propio Kaspersky se convirti\u00f3 en uno de los objetivos a principios de a\u00f1o, lo que lo llev\u00f3 a investigar los diversos componentes de lo que dec\u00eda en una amenaza persistente avanzada (APT) con todas las funciones. plataforma.<\/p>\n<p>El n\u00facleo del marco de ataque constituye una puerta trasera llamada TriangleDB que se implementa despu\u00e9s de que los atacantes obtienen privilegios de root en el dispositivo iOS objetivo mediante la explotaci\u00f3n de CVE-2023-32434, una vulnerabilidad del kernel de la que se podr\u00eda abusar para ejecutar c\u00f3digo arbitrario.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-2.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Progress-Software-publica-revisiones-urgentes-para-multiples-fallas-de-seguridad.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ahora, seg\u00fan la empresa rusa de ciberseguridad, el despliegue del implante est\u00e1 precedido por dos etapas de validaci\u00f3n, a saber, el validador JavaScript y el validador binario, que se ejecutan para determinar si el dispositivo objetivo no est\u00e1 asociado con un entorno de investigaci\u00f3n.<\/p>\n<p>&#8220;Estos validadores recopilan informaci\u00f3n diversa sobre el dispositivo de la v\u00edctima y la env\u00edan al servidor C2&#8221;, dijeron los investigadores de Kaspersky Georgy Kucherin, Leonid Bezvershenko y Valentin Pashkov. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/triangulation-validators-modules\/110847\/\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico publicado el lunes.<\/p>\n<p>&#8220;Esta informaci\u00f3n se utiliza luego para evaluar si el iPhone o iPad al que se le implantar\u00e1 TriangleDB podr\u00eda ser un dispositivo de investigaci\u00f3n. Al realizar tales comprobaciones, los atacantes pueden asegurarse de que sus exploits de d\u00eda cero y el implante no se quemen&#8221;.<\/p>\n<p>A modo de contexto: el punto de partida de la cadena de ataque es un archivo adjunto invisible de iMessage que recibe la v\u00edctima, que desencadena una cadena de explotaci\u00f3n sin clic dise\u00f1ada para abrir sigilosamente una URL \u00fanica que contiene JavaScript ofuscado y una carga \u00fatil cifrada.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698176943_287_Ataques-de-dia-cero-en-iOS-los-expertos-descubren-conocimientos.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698176943_287_Ataques-de-dia-cero-en-iOS-los-expertos-descubren-conocimientos.jpg\" alt=\"Ataques de d\u00eda cero para iOS\" border=\"0\" data-original-height=\"329\" data-original-width=\"728\" title=\"Ataques de d\u00eda cero para iOS\"\/><\/a><\/div>\n<p>La carga \u00fatil es el validador de JavaScript que, adem\u00e1s de realizar varias operaciones aritm\u00e9ticas y verificar la presencia de Media Source API y WebAssembly, realiza una t\u00e9cnica de toma de huellas digitales del navegador llamada <a rel=\"nofollow noopener\" href=\"https:\/\/fingerprint.com\/blog\/canvas-fingerprinting\/\" target=\"_blank\">huellas digitales en lienzo<\/a> dibujando un tri\u00e1ngulo amarillo sobre un fondo rosa con WebGL y calculando su suma de comprobaci\u00f3n.<\/p>\n<p>La informaci\u00f3n recopilada tras este paso se transmite a un servidor remoto para recibir, a cambio, un malware desconocido de siguiente etapa.  Tambi\u00e9n se entrega despu\u00e9s de una serie de pasos indeterminados un Validador binario, un archivo binario Mach-O que lleva a cabo las siguientes operaciones:<\/p>\n<ul>\n<li>Elimine los registros de fallos del directorio \/private\/var\/mobile\/Library\/Logs\/CrashReporter para borrar rastros de posible explotaci\u00f3n<\/li>\n<li>Elimine la evidencia del archivo adjunto malicioso de iMessage enviado desde 36 direcciones de correo electr\u00f3nico de Gmail, Outlook y Yahoo diferentes controladas por atacantes.<\/li>\n<li>Obtener una lista de procesos que se ejecutan en el dispositivo y las interfaces de red<\/li>\n<li>Compruebe si el dispositivo objetivo tiene jailbreak<\/li>\n<li>Activar el seguimiento de anuncios personalizado<\/li>\n<li>Recopile informaci\u00f3n sobre el dispositivo (nombre de usuario, n\u00famero de tel\u00e9fono, IMEI e ID de Apple) y<\/li>\n<li>Recuperar una lista de aplicaciones instaladas<\/li>\n<\/ul>\n<p>&#8220;Lo interesante de estas acciones es que el validador las implementa tanto para sistemas iOS como macOS&#8221;, dijeron los investigadores, y agregaron que los resultados de las acciones antes mencionadas se cifran y se exfiltran a un servidor de comando y control (C2) para recuperar el Implante TriangleDB.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Uno de los primeros pasos que toma la puerta trasera es establecer comunicaci\u00f3n con el servidor C2 y enviar un latido, recibiendo posteriormente comandos que eliminan el registro de fallas y los archivos de la base de datos para cubrir el rastro forense y obstaculizar el an\u00e1lisis.<\/p>\n<p>Tambi\u00e9n se env\u00edan al implante instrucciones para extraer peri\u00f3dicamente archivos del directorio \/private\/var\/tmp que contienen ubicaci\u00f3n, llavero de iCloud, datos relacionados con SQL y grabados con micr\u00f3fono.<\/p>\n<p>Una caracter\u00edstica notable del m\u00f3dulo de grabaci\u00f3n del micr\u00f3fono es su capacidad de suspender la grabaci\u00f3n cuando la pantalla del dispositivo est\u00e1 encendida, lo que indica la intenci\u00f3n del actor de la amenaza de pasar desapercibido.<\/p>\n<p>Es m\u00e1s, el m\u00f3dulo de monitoreo de ubicaci\u00f3n est\u00e1 dise\u00f1ado para utilizar datos GSM, como el c\u00f3digo de pa\u00eds m\u00f3vil (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Mobile_country_code\" target=\"_blank\">MCC<\/a>), c\u00f3digo de red m\u00f3vil (MNC) y c\u00f3digo de \u00e1rea de ubicaci\u00f3n (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Location_area_identity\" target=\"_blank\">LACA<\/a>), para triangular la ubicaci\u00f3n de la v\u00edctima cuando los datos del GPS no est\u00e1n disponibles.<\/p>\n<p>&#8220;El adversario detr\u00e1s de la Triangulaci\u00f3n tuvo mucho cuidado para evitar ser detectado&#8221;, dijeron los investigadores.  &#8220;Los atacantes tambi\u00e9n demostraron un gran conocimiento de los aspectos internos de iOS, ya que utilizaron API privadas no documentadas en el curso del ataque&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/operation-triangulation-experts-uncover.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de octubre de 2023\ue804Sala de redacci\u00f3nD\u00eda Cero \/ Seguridad M\u00f3vil El implante TriangleDB utilizado para apuntar a<\/p>\n","protected":false},"author":1,"featured_media":1013512,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,2127,4664,15590,6073,1478,385,4662,12229,4668,201033,36,16,4654,201031,4659,4653,4655,1621,10333,4666,4665,131,201032,132751,4660],"class_list":["post-1013511","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-cero","tag-como-hackear","tag-conocimientos","tag-descubren","tag-dia","tag-expertos","tag-filtracion-de-datos","tag-ios","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-mas","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-operaciones","tag-profundos","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sobre","tag-software-malicioso-ransomware","tag-triangulacion","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1013511","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1013511"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1013511\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1013512"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1013511"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1013511"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1013511"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}