Главная » Новости

Kaspersky раскрыла подробности шпионской операции против владельцев iPhone

Екатерина Быстрова 25 Октября 2023 - 15:31
...
Kaspersky раскрыла подробности шпионской операции против владельцев iPhone

Бэкдор TriangleDB, который использовался в целевых кибератаках на iOS-устройства, включал как минимум четыре различных модуля, предназначенных для записи звука с микрофона, извлечения связки ключей iCloud и кражи данных из БД SQLite.

TriangleDB стал основным орудием в шпионской кампании Operation Triangulation («операция Триангуляция»), которая затронула даже сотрудников «Лаборатории Касперского».

На днях Kaspersky раскрыла подробности кибероперации, в частности, добавив информацию про печально известный имплант TriangleDB. Вредонос разворачивался уже после успешного получения прав root на целевом iOS-устройстве.

В этом случае киберпреступники использовали уязвимость под идентификатором CVE-2023-32434, затрагивающую ядро и открывающую возможность для выполнения кода.

По словам специалистов «Лаборатории Касперского», атакующие разворачивали TriangleDB только после двух этапов валидации: JavaScript Validator и Binary Validator. Такой подход нужен был, чтобы исключить запуск в среде для анализа.

В процессе проверки вредонос собирал различную информацию о девайсе жертвы, после чего отправлял её на командный сервер (C2). Затем, когда операторы убеждались в перспективности атаки, эти сведения использовались для установки TriangleDB.

Отправной точкой для эксплуатации всегда служило входящее сообщение в iMessage с невидимым вложением. Именно последнее запускало соответствующий эксплойт.

 

Попав в систему, зловред снимал цифровой отпечаток устройства с помощью техники «canvas fingerprinting»: рисовался жёлтый треугольник на розовом фоне с WebGL, после чего подсчитывалась его контрольная сумма.

Бинарник в формате Mach-O, также используемый для валидации, мог осуществлять следующие действия:

  • удалять логи из директории /private/var/mobile/Library/Logs/CrashReporter;
  • удалять следы отправленного по iMessage вредоносного вложения (посылалось с 36 различных ящиков в Gmail, Outlook и Yahoo);
  • получать список запущенных процессов и сетевых интерфейсов;
  • проверять наличие джейлбрейка;
  • включать отслеживание и персонализированную рекламу;
  • получать имя пользователя девайса, телефонный номер, IMEI и идентификатор Apple;
  • получать список установленных приложений.
Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На Госуслугах запустят пилот платформы согласий для финрынка
Татьяна Никитина 03 Мая 2024 - 18:23
Домашние пользователи
На Госуслугах запустят пилот платформы согласий для финрынка

Банк России и Минцифры готовят к запуску платформу коммерческих согласий (ПКС) на базе портала «Госуслуг». Система позволит гражданам получать любые финансовые услуги без дополнительного подтверждения своих данных; пилот должен стартовать до конца 2024 года.

Заручившись согласием клиента, банки, МФО, брокеры, страховые компании смогут делиться информацией о нем в рамках обслуживания с помощью открытых API (напрямую). Согласие на такой обмен можно будет отозвать, при этом ПКС сохранит только волеизъявление юзера; его данные, по заверениям Центробанка, оседать там не будут.

Регулятор подчеркнул: передача недостающих сведений из одной организации в другую по новому каналу возможна лишь с согласия клиента. При этом ему должно быть понятно, на что он выдает разрешение; необходим также механизм отслеживания согласий — чтобы можно было с легкостью отозвать любое из них.

Введение обязательного использования открытых API на финрынке запланировано на 2026 год и будет осуществляться в несколько этапов. Со временем могут появиться приложения режима одного окна; при дальнейшем развитии ПКС ее смогут использовать также магазины и медучреждения.

Опрошенные РБК эксперты отметили, что нововведение сможет заработать в полную силу через два-три года и будет затратным. Потребуются значительные электронные ресурсы, нужно будет также позаботиться об устойчивости новой службы к кибератакам.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
F.A.C.C.T. и Sitronics Group вместе будут бороться с киберугрозами
Новость
F.A.C.C.T. и Sitronics Group вместе будут бороться с киберуг...
Notepad++ просит пользователей помочь избавиться от сайта-подражателя
Новость
Notepad++ просит пользователей помочь избавиться от сайта-по...
Создан декриптор для данных, шифруемых вредоносом Rhysida
Новость
Создан декриптор для данных, шифруемых вредоносом Rhysida

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6