≫ Después de Pegasus de NSO, nace el software espía Quadream

Después de Pegaso, ¿QuaDream? El asunto del software espía desarrollado por NSO para seguir de cerca a numerosas personalidades del mundo de la política, la empresa y los derechos humanos. Según una investigación realizada por el equipo de investigadores de seguridad de Microsoft con el apoyo de Citizen Lab, otro grupo israelí está maniobra como parte de operaciones de espionaje global. El punto común entre Pegasus y QuaDream es obvio dado que esta última fue fundada por ex empleados de la primera... Las dos empresas, en cualquier caso rivales, también se destacaron por su capacidad de haber violado la seguridad del iPhone en 2021.

Identificada por Microsoft como DEV-0196, también conocida como KingsPaw, esta ciberamenaza está vinculada a la empresa israelí QuaDream, que ha convertido su principal actividad en la venta de su plataforma de vigilancia a gran escala REIGN para estados y fuerzas policiales. "REIGN es un conjunto de exploits, malware e infraestructura diseñados para extraer datos de dispositivos móviles". explicar Microsoft. “Los analistas de Microsoft Threat Intelligence creen con gran confianza que DEV-0196 está utilizando este modelo, vendiendo servicios de explotación y malware a los gobiernos. Ella no participa directamente en la focalización. Microsoft también cree con un alto grado de confianza que DEV-0196 está vinculado a una empresa privada con sede en Israel llamada QuaDream.

Índice

Periodistas, opositores políticos y ONG en el visor
Un canal de comunicación XPC creado para obtener datos sensibles
1. Indicadores de compromiso:

Periodistas, opositores políticos y ONG en el visor

Uno de los socios del editor, Citizen Lab de la Escuela Munk de la Universidad de Toronto, ha identificado rastros de un presunto exploit de cero clic en iOS 14 utilizado para implementar el software espía QuaDream. Esto se implementó como día cero en las versiones 14.4 y 14.4.2 de iOS, y posiblemente en otras. El presunto exploit, denominado ENDOFDAYS, parece utilizar invitaciones invisibles al calendario de iCloud enviadas por el operador de software espía a las víctimas. QuaDream ha atraído la atención internacional desde la publicación de un artículo de Reuters en 2022, que describía un extracto de un folleto de la plataforma REIGN y una lista de sus características.

Citizen Lab ha contado al menos cinco víctimas de la sociedad civil del malware DEV-0196, incluidos periodistas, opositores políticos y un empleado de una ONG. Y esto en América del Norte, Asia Central, Sudeste Asiático, Europa y Medio Oriente. En su informe, Citizen Lab pudo identificar la ubicación de los operadores del sistema QuaDream en los siguientes países: Bulgaria, Emiratos Árabes Unidos, Hungría, Ghana, Israel, México, Uzbekistán, Rumania, Singapur y República Checa.

Un canal de comunicación XPC creado para obtener datos sensibles

El análisis del malware reveló que está dividido en varios componentes, incluido un agente de monitoreo y un agente de malware principal. “El agente de monitoreo es un archivo Mach-O nativo escrito en Objective-C. Es responsable de reducir la huella forense del malware para evitar su detección y dificultar la investigación. Existen varias técnicas para lograrlo. Uno de ellos es monitorear diferentes directorios, como /private/var/db/analyticsd/ y /private/var/mobile/Library/Logs/CrashReporter, para detectar cualquier artefacto de ejecución de malware o cualquier archivo relacionado con un bloqueo. Una vez que se identifican estos artefactos o archivos, el agente de monitoreo los elimina”, explica Microsoft.

Por su parte, el agente principal, también un archivo Mach-O nativo pero esta vez escrito en Go, está equipado con varias capacidades. Es decir, extraer información de un terminal (versión de iOS, estado de la batería, etc.), información de WiFi (SSID, estado del modo avión, etc.), de la red celular (operador de telefonía móvil, datos de la tarjeta SIM y número de teléfono), búsqueda de archivos. y recuperación, usar la cámara en segundo plano, monitorear llamadas telefónicas, acceder al llavero de iOS, generar una contraseña de un solo uso de iCloud basada en el tiempo, etc. “El agente también crea un canal seguro para mensajes XPC mediante el diseño de una extensión de aplicación anidada llamada fud .apéndice. La mensajería XPC permite al agente consultar varios archivos binarios del sistema para obtener información confidencial sobre el punto final, como datos de ubicación. Aunque existe un binario legítimo llamado fud en dispositivos iOS, que forma parte del Servicio de actualización de accesorios móviles, fud.appex no forma parte de un servicio legítimo de Apple. El agente crea la extensión de la aplicación maliciosa en la carpeta /private/var/db/com.apple.xpc.roleaccountd.staging/PlugIns/”, advierte Microsoft.

Indicadores de compromiso:

Según los resultados de su investigación, Microsoft Threat Intelligence asocia las siguientes numerosas áreas con la actividad de DEV-0196, a las que se debe prestar especial atención. A saber:

almuerzo de crianza[.]com, mujercita[.]es; almuerzo de crianza[.]es; artes-cebra[.]com, vinos de centavo[.]com chocolatelina[.]es; fiestas tardías[.]es; colectividad de fundicion[.]es; jungelfruta[.]com, gameboysess[.]es; saludcovid19[.]es; estudios de codificación[.]es; hotellujo[.]es; globo-newz[.]es; hotalsextra[.]es; tiempo nororiental[.]com animal completo[.]es; opciones de wikiped[.]com redandred[.]es; blancoypink[.]es; agrónomodoc[.]es; nutureheus[.]com timeeforsports[.]es; raíces de los árboles[.]es; años unidos[.]es; ecocredito[.]es; ecologista[.]es; guisos climáticos[.]es; aqualizas[.]es; bgnews-bg[.]com;mikontravels[.]es; juegos electrónicos[.]en línea; transformación[.]es; mejor momento[.]es; goshopeerz[.]es; condes[.]es; interno[.]es; compraseos[.]es; mwww[.]ro ; proceso de alquiler[.]es; carental[.]es; kikocruize[.]es; elvacrema[.]es; desierto de pacha[.]es; razzodev[.]es; wombatcash[.]es; globopayinfo[.]es; trabajo4uhunt[.]es; ctbgameson[.]es; adeptario[.]es; insinuar[.]es; biznomex[.]es; carrerahub4u[.]es; furiamoc[.]es; juegos de motor[.]es; anarquía[.]es; cielofotoverde[.]es; tiempo del centro de datos[.]es; estilos de vida[.]es; niñolande[.]es; homelosita[.]com; zooloow[.]es; cambios de estudios[.]es; estudios de codificación[.]es; historia de londres[.]es; mejorvidaenequipo[.]es; noticias y actualizaciones locales[.]es; tustiendas[.]es; zoolow[.]es; niñolande[.]es; homelosita[.]es; cambios de estudio[.]es; tiempo del centro de datos[.]es; homelosita[.]es; zoolow[.]es; niñolande[.]es; cambios de estudios[.]es; estilos de vida[.]es; cielofotoverde[.]es; jardíntierra[.]es; vidacompleta[.]es; incolegialmente[.]organización; comprar[.]es; la prensa del tiempo[.]es; turnos de estudio[.]es; codenero[.]es; colonias de juegos[.]es; niño[.]organización; hora salvaje[.]ciego ; perro salvaje[.]sitio ; garilc[.]es; corriendo y más allá[.]organización; fiestadelunallena[.]org;corredores verdes[.]organización; luces de sol y luces[.]es; luztecnica[.]es; juego[.]es; planificadamente[.]organización; lujo[.]organización; vinoneros[.]es; yo-realidad[.]en línea; estilonaturaleza[.]es; juegoplanetas[.]es; tierra de diversión para niños[.]organización; vidacompleta[.]es; charla local[.]ciego ; todos los lugares[.]en línea; club solar[.]sitio ; el relleno de noticias[.]es; bienestarjane[.]organización; mi salud[.]organización; gameiza[.]es; playoza[.]es; platos de comida[.]es; designaroo[.]organización; ritmo de diseño[.]organización; stocktiming[.]organización; hoteliqo[.]es; proyectoide[.]organización; búsqueda de estudios[.]es; bayas simbólicas[.]es; plan de recuperación[.]organización; entregastorz[.]es; forestaa[.]es; adictometui[.]es; tierraquequieres[.]es; zedforme[.]es; forestaa[.]es; hora de navada[.]es; carreras4ad[.]es; jardíntierra[.]es; investigación de estudio[.]es; novinita[.]negocio; agrónomodoc[.]es; blancoypink[.]es; nutureheus[.]es; aparador[.]es; iwoodstor[.]xyz; enseñaraprendizaje[.]organización; subnube[.]en línea; inversión[.]es; eléctrico[.]es; hotellujo[.]es; sitio de lúpulo[.]en línea; alquiler de motociclistas[.]es; tomatox[.]es; lote lateral[.]organización; códigos de poder[.]es; medidor de naturaleza[.]organización; tomar un descanso[.]io; vidacompleta[.]es; noraplanta[.]es; forestaa[.]es; bienesparauw[.]es; quedarse[.]co; eedloversra[.]en línea; sietesdfe[.]es; dsudro[.]es; gameboysess[.]es; seam[.]es; saludcovid19[.]es; noraplanta[.]es; vidacompleta[.]es; tiempo del centro de datos[.]es; recupera-tu-cuerpo[.]xyz; recarga tu navegador[.]información; ven y acaricia[.]a mí ; cepillarte los dientes[.]en línea; mar-digital[.]es; marca minorista[.]neto; dsudro[.]es; estudiosliii[.]es; jardines caseros[.]es; quedarse[.]co; estudiosliii[.]es; bienesparauw[.]es; dsudro[.]es; seam[.]com;sevensdfe[.]es; koraliowe[.]es; recargarrr[.]es; zeebefg[.]es; tomar un descanso[.]io; forestaa[.]es; enseñaraprendizaje[.]organización; noticias incorporadas[.]en línea; jyfa[.]xyz; inversión[.]es; enseñaraprendizaje[.]organización; eléctrico[.]es; thepila[.]es; la luz verde[.]xyz; deportes24[.]es; color clásico[.]vivir; zapatos[.]xyz; limpiar[.]información; clase establecida[.]vivir; rinoceronte blanco[.]en línea; luna espacial[.]es; inscribiéndose[.]es; noticiaslocalesactualizaciones[.]es; noticias incorporadas[.]en línea; bedos[.]es; tira de líneas[.]en línea; semana soleada[.]sitio

Si quieres conocer otros artículos parecidos a Después de Pegasus de NSO, nace el software espía Quadream puedes visitar la categoría Otros.