Os ataques sem clique no iOS que tiveram como alvo os iPhones de dezenas de funcionários seniores da Kaspersky no início deste ano concentraram-se fortemente no exercício furtivo, afirma o fornecedor russo de segurança cibernética.
Conhecidos como ‘Operação Triangulação’, os ataques envolveram anexos maliciosos do iMessage projetados para explorar uma execução remota de código (RCE) de dia zero e implantar um implante de spyware denominado TriangleDB. A Apple lançou patches para a vulnerabilidade no final de junho.
Os ataques sem clique no iOS foram divulgados no mesmo dia em que o Serviço Federal de Segurança (FSB) da Rússia culpou as agências de inteligência dos EUA por uma campanha de espionagem visando os dispositivos iOS pertencentes a diplomatas.
Na segunda-feira, a Kaspersky lançou um novo relatório detalhando as várias técnicas furtivas que o agente da ameaça por trás da Operação Triangulação empregou, juntamente com alguns dos componentes usados no ataque.
Antes de o implante TriangleDB ser implantado nos dispositivos alvo, dois validadores foram usados para coletar informações do dispositivo e garantir que o código não seria executado em ambientes de pesquisa.
O anexo invisível do iMessage contendo a exploração de clique zero abre silenciosamente uma página HTML que hospeda o primeiro validador, na forma de código JavaScript ofuscado. O código realiza diversas verificações e impressões digitais, envia as informações coletadas para um servidor remoto e aguarda a próxima etapa.
O segundo validador, um arquivo binário Mach-O, remove logs de falhas e quaisquer vestígios do anexo malicioso do iMessage de vários bancos de dados, lista processos em execução e aplicativos instalados, verifica o status de jailbreak do dispositivo, coleta informações do usuário e ativa o rastreamento de anúncios personalizados. .
O validador binário, diz Kaspersky, implementa essas ações tanto para iOS quanto para macOS e, em seguida, envia os dados coletados para seu servidor de comando e controle (C&C), que responde com o implante TriangleDB.
De acordo com a Kaspersky, o implante também foi projetado para procurar arquivos de log de falhas e arquivos de banco de dados que possam conter vestígios do anexo do iMessages e excluí-los para evitar a identificação do malware.
O implante, descobriu a Kaspersky, continha um módulo de gravação de microfone chamado ‘msu3h’, que poderia gravar por três horas por padrão e suspenderia a gravação se o nível da bateria fosse inferior a 10% e se a tela do dispositivo estivesse em uso.
Os invasores também implementaram um módulo adicional de exfiltração de chaves, recursos de roubo de banco de dados SQLite e um módulo de monitoramento de localização que usava metadados de rede se o GPS não estivesse disponível.
“O adversário por trás da Triangulação tomou muito cuidado para evitar a detecção. Eles introduziram dois validadores na cadeia de infecção para garantir que as explorações e o implante não sejam entregues aos pesquisadores de segurança. Ademais, a gravação do microfone poderia ser ajustada de forma que parasse quando a tela estivesse sendo usada”, conclui Kaspersky.