El Equipo de Análisis e Investigación Global (GReAT) de Kaspersky ha desarrollado un nuevo método de detección para Pegasus y software espía iOS igualmente sofisticado. El proveedor de ciberseguridad proporciona una herramienta de verificación de infecciones disponible públicamente en Github.
El software espía Pegasus se utilizó recientemente en Alemania. Para facilitar la identificación de infecciones de software espía, los expertos de Kaspersky han desarrollado una herramienta de autocomprobación para los usuarios. Además de Pegasus, también se detectan los programas espía de iOS Reign y Predator.
Los expertos de Kaspersky pudieron desarrollar el nuevo método de detección porque se dieron cuenta de que las infecciones de Pegasus dejan rastros en el registro del sistema "Shutdown.log", que se encuentra en el archivo de diagnóstico de cada dispositivo móvil iOS. El archivo contiene información sobre cada proceso de reinicio, por lo que las anomalías del malware Pegasus se vuelven visibles en el registro tan pronto como un usuario infectado reinicia su dispositivo. Estos incluyen, entre otras cosas, especialmente en el caso del software espía Pegasus, procesos "pegajosos" que impiden reinicios y rastros de infección descubiertos por la comunidad de ciberseguridad.
Pegasus deja rastros de infección
Al analizar el Shutdown.log de las infecciones de Pegasus, los expertos de Kaspersky encontraron la ruta de infección “/private/var/db/”, que correspondía a las rutas de otros programas maliciosos de iOS como Reign y Predator. Los expertos de Kaspersky creen que este archivo de registro tiene el potencial de identificar infecciones relacionadas con estas familias de malware.
A partir de estos hallazgos, se desarrolló una herramienta de autoevaluación para los usuarios. Con la ayuda del script The-Python3, Shutdown.log se puede extraer, analizar y analizar más fácilmente. La herramienta está disponible gratuitamente en Github para macOS, Windows y Linux.
"El análisis de volcado de Sysdiag es un método mínimamente invasivo y eficiente en recursos que se basa en artefactos basados en el sistema para identificar posibles infecciones del iPhone", explica Maher Yamout, investigador principal de seguridad en GReAT de Kaspersky. “Al utilizar el indicador de infección de este registro y confirmar la infección mediante el procesamiento MVT (Mobile Verification Toolkit) de otros artefactos de iOS, el registro ahora se convierte en parte de un enfoque holístico para investigar infecciones de malware de iOS. Hemos verificado la coherencia del comportamiento con otras infecciones de Pegasus analizadas, por lo que esperamos que sirva como un artefacto forense confiable para respaldar el análisis de infecciones”.
Recomendaciones para protegerse contra el software espía avanzado de iOS
- Reinicie los dispositivos diariamente. Según una investigación de Amnistía Internacional y Citizen Lab, Pegasus a menudo se basa en exploits de día cero y clic cero no persistentes. Reiniciar regularmente puede ayudar a limpiar el dispositivo; Los atacantes tendrían entonces que reinfectarlo una y otra vez.
- Utilice el modo de bloqueo porque los informes públicos dan fe de su éxito a la hora de bloquear infecciones de malware en iOS.
Deshabilite iMessage y Facetime, que se encuentran entre los servicios más explotados por los piratas informáticos, por lo que deshabilitarlos reduce el riesgo de ser infectado por cadenas de clic cero. - Actualice los dispositivos móviles periódicamente. Los últimos parches de iOS deben instalarse inmediatamente, ya que muchos kits de exploits de iOS atacan vulnerabilidades parcheadas previamente.
- No abra enlaces en los mensajes, ya que Pegasus se puede distribuir mediante exploits de 1 clic a través de SMS, correo electrónico o mensajería.
- Cree copias de seguridad con regularidad y realice diagnósticos del sistema; Las herramientas de Kaspersky pueden ayudar a detectar malware en iOS.
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/