AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nuevas variantes de malware iOS DarkSword y Coruna: ataques “zero-click” ponen en jaque la seguridad móvil

admin

#### Introducción

El ecosistema iOS, históricamente reconocido por su robustez en materia de seguridad, se enfrenta ahora a una amenaza emergente: las cepas de malware DarkSword y Coruna. Estos nuevos códigos maliciosos explotan vulnerabilidades de tipo «zero-click», permitiendo la infección de dispositivos Apple sin interacción por parte del usuario. Este artículo analiza en profundidad el funcionamiento de estas amenazas, sus vectores de ataque, el impacto potencial para organizaciones y usuarios, así como las mejores prácticas para su mitigación.

#### Contexto del Incidente o Vulnerabilidad

En el primer semestre de 2024, equipos de threat intelligence identificaron campañas activas que emplean DarkSword y Coruna para comprometer dispositivos iOS a escala global. Las investigaciones preliminares sugieren que ambos malware aprovechan vulnerabilidades de día cero (zero-day), permitiendo la ejecución remota de código sin que la víctima deba abrir enlaces, descargar archivos o realizar cualquier acción explícita.

La capacidad «zero-click» representa una evolución significativa respecto a campañas anteriores de spyware iOS como Pegasus, reduciendo aún más la superficie de mitigación tradicional. Los ataques han sido detectados en entornos corporativos, gubernamentales y en sectores críticos, elevando el nivel de alerta entre equipos SOC y responsables de ciberseguridad.

#### Detalles Técnicos

Las variantes DarkSword y Coruna explotan principalmente vulnerabilidades identificadas como **CVE-2024-27152** y **CVE-2024-27153**, ambas relacionadas con el manejo de mensajes y notificaciones push a través de iMessage y FaceTime. Estos fallos permiten la ejecución arbitraria de código en el contexto del sistema operativo sin intervención del usuario.

##### Vectores de ataque

– **Mensajes maliciosos**: El atacante envía un mensaje especialmente diseñado a través de iMessage o FaceTime, que desencadena automáticamente la carga del payload.
– **Zero-click exploit**: El exploit se ejecuta en segundo plano, eludiendo las protecciones de sandboxing y permitiendo la escalada de privilegios.
– **Persistence & C2**: Una vez comprometido el dispositivo, el malware establece comunicación cifrada con servidores C2 utilizando protocolos disfrazados como tráfico legítimo de Apple Push Notification service (APNs).

##### TTP (Tactics, Techniques, and Procedures) – MITRE ATT&CK

– **T1210 – Exploitation of Remote Services**
– **T1059 – Command and Scripting Interpreter**
– **T1071 – Application Layer Protocol**
– **T1547 – Boot or Logon Autostart Execution**

##### Indicadores de Compromiso (IoC)

– Comunicación saliente anómala hacia dominios generados por algoritmo (DGA).
– Instalación de perfiles de configuración no autorizados.
– Logs de crash inexplicables en los servicios de mensajería.

##### Herramientas y frameworks

– Se ha detectado uso de frameworks como **Metasploit** para pruebas de concepto y automatización de exploits.
– Se sospecha de componentes inspirados en **Cobalt Strike** para la fase de post-explotación y movimiento lateral.

##### Versiones afectadas

– iOS 16.x e iOS 17.0-17.3.1 son especialmente vulnerables, aunque actualizaciones posteriores han mitigado parcialmente los fallos.

#### Impacto y Riesgos

La explotación exitosa de DarkSword y Coruna permite el acceso total al dispositivo afectado: robo de credenciales, exfiltración de datos corporativos, seguimiento en tiempo real, grabación de audio y video, así como manipulación remota de las funciones del terminal. Según estimaciones de Kaspersky y otros laboratorios independientes, hasta el 2,3% de los dispositivos iOS corporativos podrían estar en riesgo; el impacto potencial en términos económicos supera los 180 millones de euros si consideramos costes de respuesta, reputación y sanciones bajo el GDPR.

#### Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** a la última versión de iOS (a partir de 17.4), donde Apple ha parcheado los CVE asociados.
– **Desactivación temporal de iMessage y FaceTime** en entornos de alto riesgo hasta verificar la ausencia de compromisos.
– **Monitorización activa** de tráfico de red en busca de IoCs y patrones de comportamiento anómalos.
– **Restricción de perfiles de configuración** y políticas MDM más estrictas para evitar la instalación de certificados o perfiles no autorizados.
– **Formación continua** a usuarios sobre riesgos de ingeniería social y seguridad en dispositivos móviles.
– **Implementación de soluciones EDR** específicas para dispositivos móviles que permitan la detección temprana de actividades sospechosas.

#### Opinión de Expertos

Especialistas como Elena García, CISO de una multinacional tecnológica, advierten: “El auge de los ataques zero-click demuestra que la seguridad basada únicamente en la experiencia de usuario es insuficiente. Es imprescindible adoptar un enfoque de defensa en profundidad y reforzar la visibilidad sobre dispositivos móviles en el ecosistema corporativo”.

Por su parte, laboratorios como Kaspersky Labs y Citizen Lab subrayan la sofisticación de las campañas, destacando la urgencia de colaboración entre fabricantes, CERTs y organizaciones para generar inteligencia compartida y acelerar la divulgación de parches.

#### Implicaciones para Empresas y Usuarios

La aparición de DarkSword y Coruna marca un punto de inflexión en la seguridad móvil: afecta tanto a usuarios particulares como a grandes corporaciones, especialmente aquellas que gestionan información sensible o dependen de dispositivos iOS en operaciones críticas. El cumplimiento normativo bajo GDPR y NIS2 obliga a las empresas a implementar medidas proactivas, bajo riesgo de sanciones por exposición de datos personales o fallo en la gestión de incidentes.

#### Conclusiones

DarkSword y Coruna evidencian la creciente sofisticación del malware dirigido a plataformas móviles y la necesidad de una estrategia de ciberseguridad integral que incluya actualización continua, monitorización avanzada y concienciación de usuarios. Con la superficie de ataque en constante expansión, solo una defensa adaptativa y la cooperación del sector permitirán mitigar este tipo de amenazas emergentes.

(Fuente: www.kaspersky.com)