Faisant suite au rapport publié sur la campagne d’attaque Operation Triangulation ciblant des appareils iOS, les chercheurs Kaspersky ont publié un utilitaire spécial « triangle_check » qui recherche automatiquement l’infection par le logiciel malveillant. L’outil est partagé publiquement sur GitHub et disponible pour macOS, Windows et Linux.
Le 1er juin, les chercheurs de Kaspersky ont fait état d’un nouvel APT mobile ciblant les appareils iOS. La campagne utilise des exploits de type « zéro clic » transmis par iMessage pour installer des logiciels malveillants et prendre le contrôle total de l’appareil et des données de l’utilisateur, dans le but ultime d’espionner les utilisateurs en toute discrétion. Parmi les victimes se trouvaient des employés de Kaspersky, mais les chercheurs de l’entreprise pensent que la portée de l’attaque va bien au-delà de l’organisation. En poursuivant leur enquête, les chercheurs de Kaspersky entendent apporter plus de clarté et de détails sur la prolifération mondiale de ce logiciel espion.
Le rapport initial comprenait déjà une description détaillée des mécanismes d’autocontrôle des traces de compromission utilisant l’outil MVT. Aujourd’hui, Kaspersky a publié sur GitHub un utilitaire spécial appelé « triangle_check ». Cet utilitaire, disponible pour macOS, Windows et Linux en Python, permet aux utilisateurs de rechercher automatiquement des traces d’infection par des logiciels malveillants et donc de vérifier si un appareil a été infecté ou non.
Avant d’installer l’outil, l’utilisateur doit d’abord effectuer une sauvegarde de l’appareil. Une fois la copie de sauvegarde créée, l’utilisateur peut installer et exécuter l’outil. Si des indicateurs de compromission sont détectés, l’outil affiche une notification « DETECTED » qui confirme que l’appareil a été infecté. Le message « SUSPICION » indique la détection d’indicateurs moins clairs, qui indiquent une infection probable. Le message « Aucune trace de compromission n’a été identifiée » s’affiche si aucun IoC n’a été détecté.
« Aujourd’hui, nous sommes fiers de publier un outil public gratuit qui permet aux utilisateurs de vérifier s’ils ont été touchés par la nouvelle menace sophistiquée. Avec des capacités multi plateformes, le “triangle_check” permet aux utilisateurs de scanner leurs appareils automatiquement », a commenté Igor Kuznetsov, chef de l’unité EEMEA de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky. « Nous encourageons fortement la communauté de la cybersécurité à unir ses forces pour les recherches concernant cette nouvelle APT, et construire, ensemble, un monde numérique plus sûr. »
Pour en savoir plus sur « triangle_check », rendez-vous sur le blogpost Securelist
Pour en savoir plus sur « L’Operation Triangulation », rendez-vous également sur Securelist.