Kaspersky ha adelantado que la campaña maliciosa conocida como Operation Triangulation, distribuida a través de la aplicación de iOS iMessage y aprovechó cinco vulnerabilidades de Apple, cuatro de ellas de día cero, para infectar los equipos y robar datos de los usuarios.
La compañía de ciberseguridad ha revelado nuevos detalles sobre esta campaña durante la Cumbre de Analistas de Seguridad (SAS), que organiza y celebra estos días en Tailandia y que reúne a técnicos y expertos en ciberseguridad.
La plataforma Kaspersky Unified Monitoring and Analysis Platform (KUMA) detectó a principios de año varias docenas de iPhones y iPads de empleados sénior que estaban infectadas con el software malicioso Triangulation, calificado como “extremadamente sofisticado”.
Durante el evento reciente, la firma de soluciones tecnológicas ha recordado que en esta serie de ciberataques, los delincuentes emplearon un sofisticado método de distribución de exploits de cero clics –sin interacción del usuario– a través de la aplicación iMessage para infectarlo con el objetivo de tomar el control y robar datos.
Una vez estos hackers lograban hacerse con el control del dispositivo iOS, este spyware podía enviar a servidores remotos las grabaciones del micrófono, fotografías de plataformas de mensajería instantánea y datos de geolocalización, así como otra información de los usuarios almacenada en el teléfono móvil.
La compañía ha comentado que, en el momento en el que comprendió “que había un patrón claro en las conexiones y que los dispositivos podrían haber estado infectados”, inició un protocolo estándar de análisis forense y digital de respuestas (DFIR, por sus siglas en inglés).
Y ha matizado que esta cadena de ataque se aprovechó de cinco vulnerabilidades, cuatro de ellas de día cero, y que fueron parcheadas después de que sus analistas se las notificara a Apple.
Los expertos de Kaspersky identificaron un primer punto de entrada a través de una vulnerabilidad de la biblioteca de procesamiento de fuentes. Otra de las fallas, “extremadamente potente” y explotable en el código de mapeo de memoria que permitía acceder a la memoria física del dispositivo.
Los atacantes aprovecharon otras dos vulnerabilidades para eludir las últimas funciones de seguridad del hardware del procesador de Apple, según ha añadido la empresa de ciberseguridad, que ha señalado que los analistas también descubrieron que los ciberdelincuentes no solo empleaban iMessage.
Además de la capacidad de infectar remotamente dispositivos Apple a través de iMessage sin interacción del usuario, los atacantes también contaban con una plataforma para llevar a cabo ataques a través de Safari. “Esto llevó a descubrir y corregir una quinta vulnerabilidad”, añadió Kaspersky en una nota de prensa.
Apple, por su parte, publicó oficialmente actualizaciones de seguridad que abordan cuatro vulnerabilidades de día cero: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 y CVE-2023-41990. Todas ellas afectaban a productos de la marca, como iPhones, iPods, iPads, dispositivos macOS, Apple TV y Apple Watch.
Recomendaciones para evitar ciberataques
Como es habitual en estos casos, la compañía aprovechó para comentar diferentes recomendaciones de cara a evitar este tipo de situaciones, siendo la primera de ellas la de actualizar regularmente el sistema operativo, las aplicaciones y el ‘software’ antivirus para acabar con cualquier falla conocida mediante un parche.
También es conveniente tener cuidado con correos electrónicos, mensajes o llamadas que soliciten información confidencial, así como verificar la identidad del remitente antes de compartir datos personales o hacer clic en enlaces sospechosos.
Asimismo, es importante actualizar el equipo de ciberseguridad para hacer frente a las últimas ciberamenazas e implementar soluciones de gestión de endpoints, entre otras recomendaciones.
*Con información de Europa Press.