今年6月,卡巴斯基发布了一种工具,以检测苹果iPhone和其他iOS设备是否感染了一种名为“三角测量”(Operation Triangulation)的恶意软件。报告称至少自2019年以来,该恶意软件已经在全球范围内感染了多台iOS设备。最近,卡巴斯基对这款恶意软件又有了些新发现。
卡巴斯基研究人员在10月23日发布的最新技术报告显示,该恶意软件至少四个不同的模块,用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及分析受害者位置。在部署之前有两个验证器阶段,即 JavaScript 验证器和二进制验证器,执行这些阶段是为了确定目标设备是否与研究环境无关,从而确保所利用的零日漏洞和植入物不会被销毁。
据介绍,攻击链的起点是受害者收到一个不可见的 iMessage 附件,并触发一个零点击漏洞利用链,该漏洞链旨在秘密打开一个唯一的 URL,其中包含 NaCl 加密库的模糊 JavaScript代码以及加密的有效负载。
![iOS 零日漏洞:卡巴斯基深入披露“三角测量”攻击]( "iOS 零日漏洞:卡巴斯基深入披露“三角测量”攻击")
有效负载是 JavaScript 验证器,除了执行各种算术运算并检查 Media Source API 和 WebAssembly 是否存在之外,还通过使用WebGL 在粉红色背景上绘制黄色三角形并计算其校验和来执行称为画布指纹识别的浏览器指纹识别技术。
此步骤之后收集的信息将传输到远程服务器,以便接收下一阶段恶意软件。在一系列未确定的步骤之后还交付了名为Mach-O 的二进制验证器,该文件能够执行以下操作:
-
从 /private/var/mobile/Library/Logs/CrashReporter 目录中删除崩溃日志,以清除可能被利用的痕迹
-
删除从 36 个不同攻击者控制的 Gmail、Outlook 和 Yahoo 电子邮件地址发送的恶意 iMessage 附件证据
-
-
-
-
收集有关设备的信息(用户名、电话号码、IMEI 和 Apple ID)
-
研究人员表示,这些操作的有趣之处在于,验证器能同时针对 iOS 和 macOS,其结果会被加密并渗透到命令和控制 (C2) 服务器以获取恶意软件植入。
该恶意软件还会定期从 /private/var/tmp 目录中提取文件,其中包含位置、iCloud 钥匙串、SQL 相关数据和麦克风录制数据。麦克风录制模块的一个显著特点是当设备屏幕打开时能够暂停录制,表明攻击者有意掩人耳目。
此外,位置监控模块经过精心策划,可使用 GSM 数据,如移动国家代码 (MCC)、移动网络代码 (MNC) 和位置区域代码 (LAC),实现在 GPS 数据不可用时测量受害者的位置。
研究人员称,三角测量恶意软件幕后人员对 iOS 内部结构进行了深入了解,在攻击过程中使用了未记录的私有 API,尽力避免了自己被发现的可能。
尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
|
原文始发于微信公众号(信息安全大事件):iOS 零日漏洞:卡巴斯基深入披露“三角测量”攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2145949.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论