Igor Kuznetsov, da Kaspersky: 'Campanha pode infectar Iphone sem chamar atenção das vítimas'
Malware é distribuído via texto no iMessage e não precisa que a pessoa tome uma ação (como um clique) para ser instalado no sistema-alvo.
Igor Kuznetsov, Diretor da Unidade da Rússia e da CEI, Equipe Global de Pesquisa e Análise. (Foto: Divulgação)
Os pesquisadores da Kaspersky descobriram uma nova ameaça persistente avançada (APT) móvel em andamento com o objetivo de infectar dispositivos Apple rodando o iOS – o malware usado nessa campanha era totalmente desconhecido até então. Batizada de 'Operation Triangulation', esse malware é distribuído via texto no iMessage e não precisa que a pessoa tome uma ação (como um clique) para ser instalado no sistema-alvo e adquirir controle total sobre o dispositivo e dos dados pessoais. O objetivo final é a espionagem, sem chamar atenção das vítimas.
Essa descoberta surgiu enquanto os especialistas da empresa de cibersegurança monitoravam o tráfego de rede Wi-Fi corporativa, com a Plataforma Kaspersky de Monitoramento e Análise Unificada (KUMA). Após uma análise aprofundada, os pesquisadores da Kaspersky descobriram que o grupo por traz desse APT tinha como alvo dispositivos iOS (iPhones e iPads) de dezenas de funcionários da empresa.
A investigação da técnica de ataque ainda está em andamento, mas a Kaspersky conseguiu identificar como a infecção ocorre até agora: a vítima recebe uma mensagem via iMessage com um anexo contendo um malware (exploit) que irá usar uma vulnerabilidade até então desconhecida (zero-day) no sistema operacional para realizar sua instalação. O que chama mais atenção é que a infecção do sistema-alvo é imediata e não depende de um clique da vítima em um link, por exemplo. Em seguida, o malware executará um código para ganhar privilégios de administrador no sistema para oferecer controle total sobre o dispositivo infectado. Assim que a invasão é concluída com sucesso, tanto a mensagem quanto o exploit são excluídos automaticamente para “cobrir os rastros”.
Nos casos noticiados, o spyware transmitia silenciosamente informações privadas para servidores remotos: incluindo gravações de microfone, fotos de aplicativos de mensagens, geolocalização e dados sobre uma série de outras atividades do proprietário do dispositivo infectado.
Durante a análise, foi confirmado que não houve impacto nos produtos, tecnologias e serviços da empresa, e nenhum dado de cliente ou processos críticos da Kaspersky foram afetados. Os invasores só podiam acessar os dados armazenados nos dispositivos infectados. Embora não seja comprovado, acredita-se que o ataque não foi direcionado especificamente à Kaspersky – a empresa é a primeira a descobri-lo. Os próximos dias provavelmente trarão mais clareza sobre a exposição global deste ciberataque.
"Quando se trata de cibersegurança, mesmo os sistemas operacionais mais seguros podem ser comprometidos. Como os APTs estão constantemente evoluindo suas táticas e buscando novos pontos fracos para explorar, as empresas devem priorizar a segurança de seus sistemas. Isso envolve priorizar a educação e a conscientização dos funcionários e fornecer-lhes as mais recentes informações e ferramentas sobre ameaças para reconhecer e se defender efetivamente contra ameaças potenciais", comentou Igor Kuznetsov, chefe da unidade EEMEA do Global Research and Analysis Team (GReAT) da Kaspersky.
“Nossa investigação sobre a “Operação Triangulação” continua. Esperamos que mais detalhes sobre isso sejam compartilhados em breve, pois pode haver alvos desta operação de espionagem fora da Kaspersky."
Para verificar se o seu dispositivo iOS está infectado ou não, siga as instruções no site.
Para evitar ser vítima de um ataque direcionado por um agente de ameaça conhecido ou desconhecido, os pesquisadores da Kaspersky recomendam a implementação das seguintes medidas:
- Para detecção em nível de endpoint, investigação e correção oportuna de incidentes, use uma solução de segurança confiável para empresas, como a Kaspersky Unified Monitoring and Analysis Platform (KUMA);
- Atualize o sistema operacional Microsoft Windows e outros softwares de terceiros o mais rápido possível; faça isso regularmente;
- Forneça à sua equipe SOC acesso à mais recente inteligência de ameaças (TI). O Kaspersky Threat Intelligence é um ponto de acesso único para a TI da empresa, fornecendo-lhe dados e insights de ciberataques coletados pela Kaspersky ao longo de mais de 20 anos;
- Aprimore sua equipe de segurança cibernética para enfrentar as ameaças direcionadas mais recentes com o treinamento on-line da Kaspersky desenvolvido por especialistas do GReAT;
- Como muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, introduza treinamento de conscientização de segurança e ensine habilidades práticas para sua equipe – por exemplo, por meio da Kaspersky Automated Security Awareness Platform
Saiba mais sobre a "Operação Triangulação" no Securelist