Kaspersky revela novo método para detectar spyware Pegasus

Da Redação
22/01/2024

A Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky compartilha um novo método para detectar indicadores de infecção por spyware para iOS, como Pegasus, Reign e Predator, por meio da análise do Shutdown.log, um artefato forense anteriormente inexplorado.

Os especialistas da empresa descobriram que as infecções pelo Pegasus deixam rastros no log do sistema, Shutdown.log, armazenado no arquivo sysdiagnose de qualquer dispositivo móvel iOS. Esse arquivo retém informações de cada sessão de reinicialização, o que significa que anomalias associadas ao malware Pegasus se tornam aparentes no log se o usuário infectado reinicializar seu dispositivo.

Entre os identificados estavam casos de processos “pegajosos” que impediam reinicializações, especialmente aqueles ligados ao Pegasus, juntamente com vestígios de infecção descobertos através de observações da comunidade de segurança cibernética.

“A análise de dump do sysdiag prova ser minimamente intrusiva e com poucos recursos, contando com artefatos baseados no sistema para identificar possíveis infecções no iPhone. Tendo recebido o indicador de infecção neste log e confirmado a infecção usando o processamento do Mobile Verification Toolkit (MVT) de outros artefatos do iOS, este log agora se torna parte de uma abordagem holística para investigar a infecção por malware do iOS”, comenta Maher Yamout, pesquisador-chefe de segurança da Kaspersky’s. “Como confirmamos a consistência desse comportamento com outras infecções por Pegasus que analisamos, acreditamos que ele servirá como um artefato forense confiável para apoiar a análise de infecções.”

Analisando o Shutdown.log em infecções por Pegasus, os especialistas da Kaspersky observaram um caminho de infecção comum, especificamente “/private/var/db/”, caminhos espelhados observados em infecções causadas por outros malwares para iOS, como Reign e Predator. Os pesquisadores da empresa sugerem que este arquivo de log tem potencial para identificar infecções relacionadas a essas famílias de malware.

Para facilitar a busca por infecções por spyware, os especialistas da Kaspersky desenvolveram um utilitário de autoverificação para os usuários. Os scripts Python3 facilitam a extração, análise e análise do artefato Shutdown.log. A ferramenta é compartilhada publicamente no GitHub e está disponível para macOS, Windows e Linux.

Spywares para iOS, como o Pegasus, são altamente sofisticados. Embora a comunidade cibernética nem sempre impeça a exploração bem-sucedida, os usuários podem tomar medidas para torná-la um desafio para os invasores.

Veja isso
Júri desvenda uso do Pegasus por ex-presidente do México
QuaDream, rival do Pegasus, é usado para hackear iPhones

Para se proteger contra spyware avançado no iOS, os especialistas da Kaspersky recomendam o seguinte:

  • Reinicializar diariamente: De acordo com uma pesquisa da Anistia Internacional e do Citizen Lab, o Pegasus geralmente depende de zero cliques em zero dias sem persistência. Reinicializações diárias regulares podem ajudar a limpar o dispositivo, tornando necessário que os invasores reinfectem repetidamente, aumentando assim as chances de detecção ao longo do tempo.
  • Modo de bloqueio: Houve vários relatórios públicos sobre o sucesso do modo de bloqueio recém-adicionado da Apple no bloqueio de infecções por malware do iOS.
  • Desative o iMessage e o Facetime: O iMessage, habilitado por padrão, é um vetor de exploração atraente. Desativá-lo reduz o risco de ser vítima de cadeias de clique zero. O mesmo conselho se aplica ao Facetime, outro vetor potencial de exploração.
  • Mantenha o dispositivo atualizado: Instale os patches mais recentes do iOS imediatamente, pois muitos kits de exploração do iOS têm como alvo vulnerabilidades já corrigidas. As atualizações rápidas são cruciais para ficar à frente de alguns invasores de estados-nação que podem explorar atualizações atrasadas.
  • Tenha cuidado com links: Evite clicar em links recebidos em mensagens, pois os clientes da Pegasus podem recorrer a explorações de 1 clique entregues por SMS, outros mensageiros ou e-mail.
  • Verifique backups e Sysdiags regularmente: O processamento de backups criptografados e arquivos Sysdiagnose usando MVT e ferramentas do Kaspersky pode ajudar na detecção de malware para iOS.

Ao incorporar essas práticas em sua rotina, os usuários podem fortalecer suas defesas contra spyware avançado do iOS e reduzir o risco de ataques bem-sucedidos, garante a empresa.

Compartilhar: