Una amenaza persistente avanzada (APT) previamente desconocida está dirigida a dispositivos iOS como parte de una campaña móvil sofisticada y de larga duración llamada Amenaza persistente avanzada (APT). Operación triangulación que comenzó en 2019.
«Los objetivos se infectan a través de la plataforma iMessage utilizando exploits de cero clics, y el malware se ejecuta con privilegios de root, obteniendo un control total sobre el dispositivo y los datos del usuario», dijo Kaspersky.
La compañía rusa de ciberseguridad dijo que descubrió rastros de compromiso después de realizar copias de seguridad fuera de línea de los dispositivos de destino.
La cadena de ataques comienza cuando el dispositivo iOS recibe un mensaje a través de iMessage que contiene un archivo adjunto que contiene el exploit.
Se dice que el exploit es de cero clic, lo que significa que recibir el mensaje activa la vulnerabilidad sin requerir ninguna interacción del usuario para lograr la ejecución del código.
🔐 Master API Security: comprenda su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Únete a la sesión
También está configurado para obtener cargas útiles adicionales de escalada de privilegios y soltar un malware de etapa final desde un servidor remoto que Kaspersky llama una «plataforma APT con todas las funciones».
El implante, que se ejecuta con privilegios de root, es capaz de recopilar información confidencial y ejecutar código descargado del servidor como módulos de complemento.
En la última fase, tanto el mensaje original como el exploit del archivo adjunto se eliminan para eliminar todo rastro de la infección.
«El conjunto de herramientas maliciosas no es compatible con la persistencia, muy probablemente debido a las limitaciones de [operating system]», dijo Kaspersky. «Las líneas de tiempo de varios dispositivos indican que pueden volver a infectarse después de reiniciar».
El alcance exacto y el alcance de la campaña aún no están claros, pero la compañía dijo que los ataques continúan y que las infecciones exitosas están penetrando en los dispositivos que ejecutan iOS 15.7, que se lanzó el 12 de septiembre de 2022.
También se desconoce actualmente si los ataques explotan una vulnerabilidad de día cero en iOS. The Hacker News se ha comunicado con Apple para obtener más comentarios, y actualizaremos la historia tan pronto como escuchemos algo.