Атака на iPhone и macOS детализирована Лаборатория Касперского раскрыла подробности

Лаборатория Касперского» раскрыла подробности операции «Триангуляция» – масштабной кибероперации, направленной на заражение iPhone российских пользователей.

В отчете представлен обзор цепочки заражения в рамках операции Triangulation, которая начинается с отправки вредоносного iMessage на целевое устройство. Это сообщение запускает последовательность эксплойтов, что в конечном итоге приводит к загрузке имплантата TriangleDB. Частью этой цепочки являются два ключевых «валидатора»: валидатор на базе JavaScript и бинарный валидатор. Их задача – собрать и передать на командно-контрольный сервер обширную информацию об устройстве жертвы. Этот шаг направлен на то, чтобы убедиться, что iPhone или iPad, на который будет установлен имплант TriangleDB, не является исследовательским устройством.

Процесс заражения начинается с момента получения пользователем iMessage-сообщения, содержащего вложение с эксплойтом. Эксплойт открывает HTML-страницу, размещенную на домене backuprabbit[.]com, которая содержит обфусцированный JavaScript-код и зашифрованную полезную нагрузку, называемую JavaScript-валидатором. Валидатор JavaScript выполняет ряд проверок, в том числе с использованием технологии Canvas Fingerprinting для сбора данных об устройстве.

Бинарный валидатор представляет собой двоичный файл Mach-O и выполняется до развертывания TriangleDB. В его обязанности входит расшифровка конфигурации с помощью алгоритма AES и выполнение различных действий, таких как удаление журналов, поиск следов вредоносного iMessage и сбор пользовательских данных. После того как процесс эксплуатации успешно завершен и имплант работает на целевом устройстве, он отправляет сигнальное сообщение на командный сервер. Впоследствии он получает инструкции по сканированию журналов, в которых могут сохраниться следы заражения.

Какие еще бывают трояны: