L'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky a développé une nouvelle méthode de détection pour Pegasus et les logiciels espions iOS tout aussi sophistiqués. Le fournisseur de cybersécurité propose un outil de vérification des infections accessible au public sur Github.
Le logiciel espion Pegasus a été récemment utilisé en Allemagne. Pour faciliter l'identification des infections par les logiciels espions, les experts de Kaspersky ont développé un outil d'auto-vérification pour les utilisateurs. Outre Pegasus, les logiciels espions iOS Reign et Predator sont également détectés.
Les experts de Kaspersky ont pu développer cette nouvelle méthode de détection car ils ont réalisé que les infections Pegasus laissent des traces dans le journal système « Shutdown.log », qui est contenu dans l'archive de diagnostic de chaque appareil mobile iOS. L'archive contient des informations sur chaque processus de redémarrage, de sorte que les anomalies du logiciel malveillant Pegasus deviennent visibles dans le journal dès qu'un utilisateur infecté redémarre son appareil. Il s’agit notamment, notamment avec le logiciel espion Pegasus, de processus « collants » qui empêchent les redémarrages et de traces d’infection découvertes par la communauté de la cybersécurité.
Pegasus laisse des traces d’infection
Lors de l’analyse du Shutdown.log des infections Pegasus, les experts de Kaspersky ont trouvé le chemin d’infection « /private/var/db/ », qui correspondait aux chemins d’autres malwares iOS tels que Reign et Predator. Les experts de Kaspersky estiment que ce fichier journal a le potentiel d'identifier les infections liées à ces familles de logiciels malveillants.
Sur la base de ces résultats, un outil d’autocontrôle destiné aux utilisateurs a été développé. Avec l'aide du script The-Python3, le Shutdown.log peut être plus facilement extrait, analysé et analysé. L'outil est disponible gratuitement sur Github pour macOS, Windows et Linux.
« L'analyse des vidages Sysdiag est une méthode peu invasive et économe en ressources qui s'appuie sur des artefacts basés sur le système pour identifier les infections potentielles de l'iPhone », explique Maher Yamout, chercheur principal en sécurité chez GReAT de Kaspersky. « En utilisant l'indicateur d'infection de ce journal et en confirmant l'infection à l'aide du traitement MVT (Mobile Verification Toolkit) d'autres artefacts iOS, le journal fait désormais partie d'une approche holistique d'enquête sur les infections par des logiciels malveillants iOS. Nous avons vérifié la cohérence comportementale avec d’autres infections Pegasus analysées, nous espérons donc qu’elle servira d’artefact médico-légal fiable pour soutenir l’analyse des infections.
Recommandations pour la protection contre les logiciels espions iOS avancés
- Redémarrez les appareils quotidiennement. Selon les recherches d'Amnesty International et de Citizen Lab, Pegasus est souvent basé sur des exploits Zero-Click Zero Day non persistants. Un redémarrage régulier peut aider à nettoyer l'appareil ; Les attaquants devraient alors le réinfecter encore et encore.
- Utilisez le mode de verrouillage, car des rapports publics attestent de son succès dans le blocage des infections par des logiciels malveillants iOS.
Désactivez iMessage et Facetime, qui font partie des services les plus exploités par les pirates informatiques, afin de les désactiver réduit le risque d'être infecté par des chaînes sans clic. - Mettez régulièrement à jour les appareils mobiles. Les derniers correctifs iOS doivent être installés immédiatement, car de nombreux kits d'exploitation iOS ciblent des vulnérabilités précédemment corrigées.
- N'ouvrez pas de liens dans les messages, car Pegasus peut être distribué via des exploits en 1 clic via SMS, e-mail ou messagerie.
- Créer régulièrement des sauvegardes et effectuer des diagnostics système ; Les outils Kaspersky peuvent aider à détecter les logiciels malveillants iOS.
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/