ספקית האנטי-וירוס קספרסקי גילתה מסע פרסום של תוכנות זדוניות שמטרתו במפורש להדביק מכשירי אייפון שפועלים עד iOS 15.7 דרךiMessage- אבל אפשר למצוא ולמנוע אותו.
הצוות של קספרסקימְזוּהֶההתנהגות שעלולה להיות חשודה הנובעת ממספר מכשירי iOS. עם זאת, בשל מגבלות האבטחה המגבילות בדיקה פנימית ישירה של מכשירי iOS, החברה נאלצה ליצור גיבויים לא מקוונים.
גיבויים אלה עברו לאחר מכן ניתוח באמצעות הmvt-ios(Mobile Verification Toolkit עבור iOS), וכתוצאה מכך זיהוי של אינדיקטורים המעידים על פשרה. ההתקפה מתרחשת כאשר מכשיר ה-iOS הממוקד מקבל הודעה דרך פלטפורמת iMessage.
ההודעה כוללת קובץ מצורף הנושא ניצול. ניצול זה, שנוצר במפורש כמנגנון אפס קליקים, גורם לפגיעות בתוך המערכת, המאפשר ביצוע של קוד זדוני ללא צורך באינטראקציה כלשהי של המשתמש.
לאחר מכן, הניצול יוזם שליפה של שלבים נוספים משרת הפיקוד והבקרה (C&C). שלבים אלה כוללים ניצולים נוספים שהוכנו במיוחד להעלאת הרשאות.
לאחר שתהליך הניצול מוכיח את עצמו כמוצלח, מורידה פלטפורמת APT (Advanced Persistent Threat) מקיפה משרת ה-C&C, המבססת שליטה מוחלטת על המכשיר ועל נתוני המשתמש. המתקפה מחסלת את המסר הראשוני ומנצלת את ההתקשרות כדי לשמור על אופיו החשאי.
מעניין לציין כי ערכת הכלים הזדונית אינה מתמשכת, מה שמעיד על כך שהמגבלות של סביבת iOS עשויות להיות גורם מגביל. עם זאת, המכשירים עלולים להידבק מחדש עם אתחול מחדש על ידי מתקפה נוספת.
יתר על כן, קספרסקי ציינה כי המתקפה השפיעה למעשה על מכשירים המריצים גרסאות iOS עד 15.7 נכון ליוני 2023. עם זאת, עדיין לא ברור אם הקמפיין מנצל פגיעות של יום אפס שהתגלתה זה עתה בתוך גרסאות ישנות יותר של iOS.
מלוא היקפו וגודלו של וקטור התקיפה עדיין בחקירה.
איך להגן על עצמך
הצוות של קספרסקי עורך חקירה מתמשכת לגבי המטען האולטימטיבי של התוכנה הזדונית, הפועלת עם הרשאות שורש. לתוכנה זדונית זו יש את היכולת לאסוף נתוני מערכת ומשתמש כאחד, כמו גם לבצע קוד שרירותי המוריד כמודולי פלאגין משרת C&C.
עם זאת, הם אומרים שניתן לזהות אם מכשיר נפרץ בצורה מהימנה. יתר על כן, כאשר מכשיר חדש מוגדר על ידי העברת נתוני משתמש ממכשיר קודם, הגיבוי של iTunes של אותו מכשיר ישמור עקבות של פשרה שהתרחשה בשני המכשירים, עם חותמות זמן מדויקות.
הפוסט בבלוג של קספרסקי מספק הנחיות מקיפות לקביעה אם מכשיר ה-iOS שלך נגוע בתוכנה הזדונית. התהליך כולל שימוש באפליקציית שורת הפקודה Terminal כדי להתקין תוכנה ובדיקת קבצים ספציפיים לאיתור סימנים של נוכחות תוכנה זדונית.
- צור גיבוי עם idevicebackup2 עם הפקודה "גיבוי idevicebackup2 - ספריית $backup_מלאה."
- לאחר מכן, התקן את MVT באמצעות הפקודה "pip להתקין mvt."
- לאחר מכן, משתמשים יכולים לבדוק את הגיבוי באמצעות הפקודה "mvt-ios check backup -o $mvt_output_directory $decrypted_backup_directory."
- לבסוף, בדוק את הקובץ timeline.csv עבור אינדיקטורים עם שורות שימוש בנתונים המזכירים את התהליך בשם "BackupAgent."
הבינארי הספציפי הזה נחשב להוצאת משימוש ולא אמור להיות קיים בדרך כלל בציר הזמן של השימוש של המכשיר במהלך פעולה רגילה.
חשוב לציין ששלבים אלה דורשים רמה מסוימת של מומחיות טכנית ויש לנסות אותם רק על ידי משתמשים בעלי ידע. עדכון ל-iOS 16 הוא הדרך הטובה ביותר - והקלה ביותר - להגן על עצמך.
