Los investigadores de Kaspersky han descubierto una nueva campaña de amenaza persistente avanzada (APT) móvil dirigido a dispositivos iOS con malware previamente desconocido. Apodada como ‘Operación Triangulación‘, la campaña distribuye exploits, sin la necesidad de acción alguna por parte de la víctima, a través de iMessage, para ejecutar malware y obtener control total sobre los dispositivos y datos de los usuarios, con el objetivo de espiarlos de forma silenciosa.
La campaña fue descubierta mientras expertos de la empresa monitoreaban el tráfico de su red Wi-Fi corporativa utilizando la Plataforma de Análisis y Monitoreo Unificado de Kaspersky (Kaspersky Unified Monitoring and Analysis Platform o KUMA). Tras un análisis profundo, los investigadores descubrieron que el actor de amenazas había estado apuntando a los dispositivos iOS de docenas de empleados de la compañía.
La investigación de la técnica de ataque aún está en curso, pero hasta ahora los expertos pudieron identificar la secuencia general de infección. ¿Cómo funciona? La víctima recibe un mensaje a través de iMessage con un archivo adjunto que contiene un exploit de clic cero. Sin más interacción, el mensaje desencadena una vulnerabilidad que ejecuta un código para escalar privilegios y proporcionar control total sobre el dispositivo infectado. Una vez que el atacante establece con éxito su presencia en el dispositivo, el mensaje se elimina automáticamente.
Además, el software espía transmite silenciosamente información privada a servidores remotos: incluidas grabaciones de micrófonos, fotos de mensajeros instantáneos, geolocalización y datos sobre otras actividades del propietario del dispositivo infectado.
Durante el análisis de Operación Triangulación, se confirmó que no hubo impacto en los productos, tecnologías y servicios de la empresa, y que no se vieron afectados los datos de los usuarios de los clientes de Kaspersky ni los procesos críticos de la empresa. Los atacantes solo podían acceder a los datos almacenados en los dispositivos infectados. Aunque no es seguro, se cree que el ataque no estaba dirigido específicamente a Kaspersky: la empresa es la primera en descubrirlo. Es probable que los próximos días brinden más claridad sobre la extensión global de este ciberataque.
“Cuando se trata de ciberseguridad, incluso los sistemas operativos más seguros pueden verse comprometidos. Dado que los actores de APT evolucionan sus tácticas constantemente y buscan nuevas debilidades para explotar, las empresas deben priorizar la seguridad de sus sistemas. Esto implica priorizar la educación y la concientización de los empleados, y brindarles la inteligencia de amenazas más reciente, así como las herramientas para reconocer y defenderse de amenazas potenciales de manera efectiva”, comentó Igor Kuznetsov, jefe del Equipo Global de Investigación y Análisis (GReAT) para EMEA en Kaspersky. “Nuestra investigación de la Operación Triangulación continúa. Anticipamos que más detalles se darán a conocer pronto, ya que puede haber objetivos de esta operación de espionaje fuera de Kaspersky”.
Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Utilice una solución de seguridad confiable para empresas que le ofrezcan una oportuna detección, investigación y corrección de incidentes a nivel del endpoint. Actualice el sistema operativo Microsoft Windows y otros softwares de terceros tan pronto le sea posible y de manera regular.
- Proporcione acceso a su equipo SOC a la inteligencia de amenazas más reciente.
- Mejore las habilidades de su equipo de seguridad cibernética para abordar las últimas amenazas dirigidas..
- Proporcione capacitación sobre seguridad y enseñe habilidades prácticas a su equipo, ya que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social.