Los objetivos se infectan mediante exploits de cero clics a trav\u00e9s de la plataforma iMessage, y el malware se ejecuta con privilegios de ra\u00edz, lo que les otorga un control total sobre los dispositivos y los datos de los usuarios.<\/p>\n
Esta es una investigaci\u00f3n en curso, la cantidad de material que recopilan es sustancial y tomar\u00e1 tiempo analizarlo.<\/p>\n
Dada la complejidad del ataque, est\u00e1n seguros de que no son los \u00fanicos objetivos e invitan a todos a unirse a la investigaci\u00f3n.<\/p>\n
Si tienen m\u00e1s detalles para compartir, comun\u00edquense con ellos a trav\u00e9s de la direcci\u00f3n de correo electr\u00f3nico triangulaci\u00f3n[at]kaspersky.com.<\/p>\n
Hasta ahora, se ha descubierto que las copias de seguridad de los dispositivos m\u00f3viles contienen una copia parcial del sistema de archivos, incluyendo algunos datos del usuario y las bases de datos del servicio.<\/p>\n
Las marcas de tiempo de los archivos, las carpetas y los registros de la base de datos permiten reconstruir aproximadamente los eventos que ocurren en el dispositivo.<\/p>\n
La herramienta “mvt-ios” genera una l\u00ednea de tiempo ordenada de eventos en un archivo llamado “timeline.csv”, similar a una l\u00ednea de tiempo utilizada en herramientas forenses digitales convencionales.<\/p>\n
Utilizando esta l\u00ednea de tiempo, se ha logrado identificar artefactos espec\u00edficos que indican un compromiso en los dispositivos.<\/p>\n
Esto ha permitido avanzar en la investigaci\u00f3n y reconstruir la secuencia general de infecci\u00f3n:<\/p>\n
El conjunto de herramientas maliciosas no admite la persistencia, probablemente debido a las limitaciones del sistema operativo.<\/p>\n
Las l\u00edneas de tiempo de varios dispositivos indican que existe la posibilidad de reinfecci\u00f3n despu\u00e9s de reiniciar.<\/p>\n
Los rastros m\u00e1s antiguos de infecci\u00f3n descubiertos hasta ahora datan de 2019. A la fecha de este art\u00edculo, en junio de 2023, el ataque contin\u00faa y la versi\u00f3n m\u00e1s reciente de los dispositivos exitosamente atacados es iOS 15.7.<\/p>\n
El an\u00e1lisis de la carga \u00fatil final a\u00fan est\u00e1 en curso.<\/p>\n
El c\u00f3digo se ejecuta con privilegios de ra\u00edz y utiliza una serie de comandos para recopilar informaci\u00f3n tanto del usuario como del sistema.<\/p>\n
Adem\u00e1s, tiene la capacidad de ejecutar c\u00f3digo arbitrario descargado como m\u00f3dulos de complemento desde el servidor C&C.<\/p>\n
Es importante tener en cuenta que, a pesar de que el malware incluye secciones de c\u00f3digo destinadas a borrar los rastros de compromiso, es posible identificar de manera confiable si un dispositivo ha sido comprometido.<\/p>\n
Adem\u00e1s, si se configur\u00f3 un nuevo dispositivo mediante la migraci\u00f3n de datos de usuario desde un dispositivo anterior, la copia de seguridad de iTunes de ese dispositivo contendr\u00e1 los rastros de compromiso que ocurrieron en ambos dispositivos, con las marcas de tiempo correctas.<\/p>\n
Esto proporciona una oportunidad para rastrear y analizar adecuadamente la actividad maliciosa en los dispositivos afectados.<\/p>\n
Para asegurar todos los posibles dispositivos de destino, se recomienda realizar una copia de seguridad utilizando iTunes o la utilidad de c\u00f3digo abierto idevicebackup2 (del paquete libimobiledevice).<\/p>\n
Este \u00faltimo est\u00e1 disponible como un paquete preconstruido en las distribuciones de Linux m\u00e1s populares, o se puede compilar a partir del c\u00f3digo fuente para MacOS\/Linux.<\/p>\n
Para crear una copia de seguridad con idevicebackup2, se debe ejecutar el siguiente comando:<\/p>\n
idevicebackup2 backup --full $directorio_de_copia_de_seguridad<\/span><\/code><\/div>\n<\/div>\nEs posible que se solicite ingresar el c\u00f3digo de seguridad del dispositivo varias veces, y el proceso puede llevar varias horas, dependiendo de la cantidad de datos de usuario almacenados en el dispositivo.<\/p>\n
Instalar MVT<\/h3>\n
Una vez que se ha realizado la copia de seguridad, esta debe ser procesada utilizando el kit de herramientas de verificaci\u00f3n m\u00f3vil (MVT). Si Python 3 est\u00e1 instalado en el sistema, se puede ejecutar el siguiente comando para instalar MVT:<\/p>\n
\npip install mvt
\n<\/code><\/div>\n<\/div>\nPara obtener instrucciones m\u00e1s detalladas sobre la instalaci\u00f3n, se puede consultar el manual de instalaci\u00f3n completo disponible en la p\u00e1gina de inicio de MVT.<\/p>\n
Opcional: descifrar la copia de seguridad<\/h3>\n
Si el propietario del dispositivo configur\u00f3 el cifrado para la copia de seguridad previa, ser\u00e1 necesario descifrarla antes de realizar las comprobaciones. En ese caso, se puede utilizar el comando mvt-ios decrypt-backup<\/code> para descifrar la copia de seguridad.<\/p>\nEl comando para descifrar la copia de seguridad ser\u00eda el siguiente:<\/p>\n
\nmvt-ios decrypt-backup -d $directorio_de_copia_descifrada<\/span> $directorio_de_copia_de_seguridad<\/span><\/code><\/div>\n<\/div>\nReemplaza $directorio_de_copia_descifrada<\/code> con el directorio en el que deseas guardar la copia de seguridad descifrada y $directorio_de_copia_de_seguridad<\/code> con el directorio donde se encuentra la copia de seguridad cifrada.<\/p>\nAnalizar la copia de seguridad usando MVT<\/h3>\n
Para ejecutar todas las comprobaciones de MVT y obtener el archivo “timeline.csv” utilizando el directorio de copia de seguridad descifrada, se puede utilizar el siguiente comando:<\/p>\n
\nmvt-ios check-backup -o $directorio_de_salida_mvt<\/span> $directorio_de_copia_descifrada<\/span>
\n<\/code><\/div>\n<\/div>\nReemplaza $directorio_de_salida_mvt<\/code> con el directorio en el que deseas guardar los archivos de salida generados por MVT y $directorio_de_copia_descifrada<\/code> con el directorio donde se encuentra la copia de seguridad descifrada.<\/p>\nDespu\u00e9s de ejecutar este comando, el directorio de salida contendr\u00e1 varios archivos JSON y CSV, incluyendo el archivo “timeline.csv” que necesitar\u00e1s para la metodolog\u00eda descripta.<\/p>\n
Consulte timeline.csv para ver los indicadores<\/h3>\n
El indicador m\u00e1s confiable que se ha descubierto es la presencia de l\u00edneas de uso de datos que mencionan el proceso llamado “BackupAgent”.<\/p>\n
Este es un binario obsoleto que no deber\u00eda aparecer en la l\u00ednea de tiempo durante el uso regular del dispositivo. Sin embargo, es importante tener en cuenta que tambi\u00e9n existe un binario llamado “BackupAgent2”, el cual no es un indicador de compromiso.<\/p>\n
En muchos casos, el proceso “IMTransferAgent” precede a “BackupAgent”. Este proceso descarga el archivo adjunto que resulta ser un exploit, lo cual lleva a la modificaci\u00f3n de las marcas de tiempo en varios directorios dentro de “Library\/SMS\/Attachments”.<\/p>\n
Estos eventos indican la posible presencia de un compromiso.<\/p>\n
Es crucial tener en cuenta estos indicadores al analizar la l\u00ednea de tiempo y determinar si un dispositivo ha sido comprometido.<\/p>\n
Despu\u00e9s de la descarga del archivo adjunto, este es eliminado, dejando solo directorios modificados sin archivos reales dentro de ellos.<\/p>\n
A continuaci\u00f3n se muestra un ejemplo de l\u00edneas de tiempo que reflejan esta actividad:<\/p>\n
\n2022-09-13 10:04:11.890351Z<\/span> Datausage<\/span> IMTransferAgent\/com.apple.datausage.messages<\/span> (Bundle<\/span> ID:<\/span> com.apple.datausage.messages,<\/span> ID:<\/span> 127<\/span>)<\/span> WIFI IN:<\/span> 0.0<\/span>,<\/span> WIFI OUT: 0.0 - WWAN IN:<\/span> 76281896.0<\/span>,<\/span> WWAN OUT:<\/span> 100956502.0<\/span>
\n2022-09-13 10:04:54.000000Z<\/span> Manifest<\/span> Library\/SMS\/Attachments\/65\/05<\/span> -<\/span> MediaDomain<\/span>
\n2022-09-13 10:05:14.744570Z<\/span> Datausage<\/span> BackupAgent<\/span> (Bundle<\/span> ID:<\/span> ,<\/span> ID:<\/span> 710<\/span>)<\/span> WIFI IN:<\/span> 0.0<\/span>,<\/span> WIFI OUT: 0.0 - WWAN IN:<\/span> 734459.0<\/span>,<\/span> WWAN OUT:<\/span> 287912.0<\/span>
\n<\/code><\/div>\n<\/div>\n <\/p>\n
Estas l\u00edneas de tiempo indican la actividad del proceso “IMTransferAgent” durante la descarga del archivo adjunto y la modificaci\u00f3n de los directorios correspondientes.<\/p>\n
El proceso “BackupAgent” tambi\u00e9n muestra actividad relacionada en t\u00e9rminos de uso de datos. Estos eventos pueden ser se\u00f1ales importantes para identificar un posible compromiso en el dispositivo.<\/p>\n
Adem\u00e1s de los indicadores m\u00e1s confiables, existen indicadores menos confiables que pueden considerarse como Indicadores de Compromiso (IOC) si ocurren varios de ellos en un corto per\u00edodo de tiempo, como minutos. Estos indicadores incluyen:<\/p>\n
Modificaci\u00f3n de uno o varios archivos, como:<\/strong><\/p>\n\n- \n
\n- com.apple.ImageIO.plist<\/li>\n
- com.apple.locationd.StatusBarIconManager.plist<\/li>\n
- com.apple.imservice.ids.FaceTime.plist<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Informaci\u00f3n de uso de datos de los servicios:<\/strong><\/p>\n\n- \n
\n- com.apple.WebKit.WebContent<\/li>\n
- powerd\/com.apple.datausage.diagnostics<\/li>\n
- lockdownd\/com.apple.datausage.security<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Si se detecta la presencia de varios de estos indicadores en un corto per\u00edodo de tiempo, puede ser una se\u00f1al adicional de compromiso en el dispositivo.<\/p>\n
Sin embargo, es importante tener en cuenta que estos indicadores son menos confiables que los mencionados anteriormente y se debe realizar un an\u00e1lisis m\u00e1s exhaustivo para confirmar el compromiso.<\/p>\n
Seg\u00fan las l\u00edneas de tiempo analizadas, se pueden observar los siguientes eventos:<\/p>\n
\n2021-10-30 16:35:24.923368Z<\/span> Datausage<\/span> IMTransferAgent\/com.apple.MobileSMS<\/span> (Bundle<\/span> ID:<\/span> com.apple.MobileSMS,<\/span> ID:<\/span> 945<\/span>)<\/span> WIFI IN:<\/span> 0.0<\/span>,<\/span> WIFI OUT: 0.0 - WWAN IN:<\/span> 31933.0<\/span>,<\/span> WWAN OUT:<\/span> 104150.0<\/span>
\n2021-10-30 16:35:24.928030Z<\/span> Datausage<\/span> IMTransferAgent\/com.apple.MobileSMS<\/span> (Bundle<\/span> ID:<\/span> com.apple.MobileSMS,<\/span> ID:<\/span> 945<\/span>)<\/span>
\n2021-10-30 16:35:24.935920Z<\/span> Datausage<\/span> IMTransferAgent\/com.apple.datausage.messages<\/span> (Bundle<\/span> ID:<\/span> com.apple.datausage.messages,<\/span> ID:<\/span> 946<\/span>)<\/span> WIFI IN:<\/span> 0.0<\/span>,<\/span> WIFI OUT: 0.0 - WWAN IN:<\/span> 47743.0<\/span>,<\/span> WWAN OUT:<\/span> 6502.0<\/span>
\n2021-10-30 16:35:24.937976Z<\/span> Datausage<\/span> IMTransferAgent\/com.apple.datausage.messages<\/span> (Bundle<\/span> ID:<\/span> com.apple.datausage.messages,<\/span> ID:<\/span> 946<\/span>)<\/span>
\n2021-10-30 16:36:51.000000Z<\/span> Manifest<\/span> Library\/Preferences\/com.apple.locationd.StatusBarIconManager.plist<\/span> -<\/span> HomeDomain<\/span>
\n2021-10-30 16:36:51.000000Z<\/span> Manifest<\/span> Library\/Preferences\/com.apple.ImageIO.plist<\/span> -<\/span> RootDomain<\/span>
\n<\/code><\/div>\n<\/div>\nEstos eventos muestran que ha habido actividad en relaci\u00f3n con el proceso IMTransferAgent y los servicios MobileSMS y datausage.messages. Adem\u00e1s, se han modificado los archivos com.apple.locationd.StatusBarIconManager.plist y com.apple.ImageIO.plist.<\/p>\n
Teniendo en cuenta la ocurrencia simult\u00e1nea de estos eventos, podr\u00edan considerarse como indicios de compromiso en el dispositivo. Sin embargo, es importante realizar un an\u00e1lisis m\u00e1s detallado y considerar otros factores para confirmar cualquier sospecha de compromiso.<\/p>\n
Basado en los eventos analizados, se puede observar lo siguiente:<\/p>\n
\n<timestamp<\/span>><\/span> Modificaci\u00f3n de un directorio de archivos adjuntos de SMS (sin nombre de archivo adjunto)
\n<timestamp<\/span>><\/span> Uso de datos de com.apple.WebKit.WebContent
\n<timestamp<\/span>><\/span> Modificaci\u00f3n de com.apple.locationd.StatusBarIconManager.plist
\n<\/span><\/code><\/div>\n<\/div>\nEstos eventos muestran una secuencia de actividad sospechosa en el dispositivo.<\/p>\n
La modificaci\u00f3n del directorio de archivos adjuntos de SMS, seguido del uso de datos de com.apple.WebKit.WebContent y, finalmente, la modificaci\u00f3n de com.apple.locationd.StatusBarIconManager.plist, dentro de un per\u00edodo de tiempo de 1 a 3 minutos, sugiere un posible compromiso exitoso a trav\u00e9s de un archivo adjunto de iMessage.<\/p>\n
Estos indicios respaldan la hip\u00f3tesis de que ha ocurrido una explotaci\u00f3n exitosa y que hay actividad maliciosa en el dispositivo. Es recomendable realizar un an\u00e1lisis forense m\u00e1s exhaustivo y tomar medidas de respuesta ante el incidente de seguridad.<\/p>\n
Observemos la siguiente secuencia de actividad sospechosa:<\/h3>\n\n2022-09-11 19:52:56.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/98<\/span> -<\/span> MediaDomain<\/span>
\n2022-09-11 19:52:56.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/98\/08<\/span> -<\/span> MediaDomain<\/span>
\n2022-09-11 19:53:10.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/98\/08<\/span> -<\/span> MediaDomain<\/span>
\n2022-09-11 19:54:51.698609Z<\/span> Uso<\/span> de<\/span> datos<\/span> de<\/span> com.apple.WebKit.WebContent<\/span>
\n2022-09-11 19:54:51.702269Z<\/span> Uso<\/span> de<\/span> datos<\/span> de<\/span> com.apple.WebKit.WebContent<\/span>
\n2022-09-11 19:54:53.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/Preferences\/com.apple.locationd.StatusBarIconManager.plist<\/span>
\n2022-06-26 18:21:36.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/ad\/13<\/span> -<\/span> MediaDomain<\/span>
\n2022-06-26 18:21:36.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/ad<\/span> -<\/span> MediaDomain<\/span>
\n2022-06-26 18:21:50.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/ad\/13<\/span> -<\/span> MediaDomain<\/span>
\n2022-06-26 18:22:03.412817Z<\/span> Uso<\/span> de<\/span> datos<\/span> de<\/span> com.apple.WebKit.WebContent<\/span>
\n2022-06-26 18:22:16.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/Preferences\/com.apple.ImageIO.plist<\/span>
\n2022-06-26 18:22:16.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/Preferences\/com.apple.locationd.StatusBarIconManager.plist<\/span>
\n2022-03-21 21:37:55.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/fc<\/span> -<\/span> MediaDomain<\/span>
\n2022-03-21 21:37:55.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/fc\/12<\/span> -<\/span> MediaDomain<\/span>
\n2022-03-21 21:38:08.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/SMS\/Attachments\/fc\/12<\/span> -<\/span> MediaDomain<\/span>
\n2022-03-21 21:38:23.901243Z<\/span> Uso<\/span> de<\/span> datos<\/span> de<\/span> com.apple.WebKit.WebContent<\/span>
\n2022-03-21 21:38:24.000000Z<\/span> Modificaci\u00f3n<\/span> de<\/span> Library\/Preferences\/com.apple.locationd.StatusBarIconManager.plist<\/span>