Öffentlich zugängliches Malware-Erkennungs-Tool für Operation Triangulation
Die Kampagne “Operation Triangulation” zielt auf Geräte ab, die mit iOS arbeiten. Mit “triangle_check” von Kaspersky steht ab sofort ein Werkzeug zur Verfügung, das dazu in der Lage ist, automatisch nach der genannten Malware-Infektion zu suchen. Das Werkzeug steht auf GitHub für jeden frei zur Verfügung und läuft unter Linux, macOS und Windows. Die Malware-Kampagne “Operation Triangulation” wurde bereits am 1. Juni dieses Jahres von Kaspersky beschrieben und stellt eine mobile Advanced Persistent Threat (APT) dar.
Die Kampagne nutzt Zero-Click-Exploits, die über iMessage übertragen werden, um Malware zu installieren und die vollständige Kontrolle über das Gerät und die Nutzerdaten zu erlangen. Das Ziel: die Nutzer heimlich ausspionieren. Zu den Betroffenen gehörten auch Mitarbeiter von Kaspersky, doch die Experten des Unternehmens gehen davon aus, dass die Reichweite des Angriffs weit über das Unternehmen hinausgeht. Mit der Fortsetzung ihrer Untersuchung liefern die Kaspersky-Experten mehr Klarheit und weitere Details über die weltweite Verbreitung dieser Spionagesoftware.
Der ursprüngliche Bericht enthielt bereits eine detaillierte Beschreibung der Mechanismen zur Selbstüberprüfung von Kompromittierungsspuren mit Hilfe des MVT-Tools. Jetzt hat Kaspersky auf GitHub ein spezielles Tool namens ‘triangle_check‘ veröffentlicht. Dieses für macOS, Windows und Linux in Python verfügbare Dienstprogramm ermöglicht es Anwendern, automatisch nach Spuren einer Malware-Infektion zu suchen und somit zu überprüfen, ob ein Gerät infiziert wurde.
Vor der Installation des Programms sollten Nutzer zunächst ein Backup des Geräts erstellen; und erst danach das Tool installieren und ausführen. Das Programm gibt drei Meldungen aus:
- ‘DETECTED’ bestätigt, dass das Gerät infiziert wurde.
- ‘SUSPICION‘ hingegen weist auf die Erkennung weniger eindeutiger Indikatoren hin, die auf eine wahrscheinliche Infektion schließen lassen.
- ‘No traces of compromise were identified’ wird angezeigt, wenn überhaupt keine Indicator of Compromise (IoCs) entdeckt wurden – und das Gerät nicht infiziert ist.
„Wir sind stolz darauf, heute ein kostenloses öffentliches Tool bereitzustellen, mit dem Nutzer überprüfen können, ob sie von der neu entdeckten fortschrittlichen Bedrohung betroffen sind. Mit dem plattformübergreifenden ‚triangle_check‘ können Nutzer ihre Geräte automatisch scannen“, kommentiert Igor Kuznetsov, Leiter der EEMEA-Einheit im Global Research and Analysis Team (GReAT) bei Kaspersky. “Wir fordern die Cybersicherheits-Community auf, ihre Kräfte bei der Erforschung dieser neuen APT zu vereinen, um eine sicherere digitale Welt aufzubauen.“
Weitere Informationen: https://securelist.com/find-the-triangulation-utility/109867 und https://securelist.com