Il Global Research and Analysis Team (GReAT) di Kaspersky ha sviluppato un nuovo metodo di rilevamento per Pegasus e spyware iOS altrettanto sofisticati. Il fornitore di sicurezza informatica fornisce uno strumento di controllo delle infezioni disponibile pubblicamente su Github.
Lo spyware Pegasus è stato recentemente utilizzato in Germania. Per facilitare l'identificazione delle infezioni da spyware, gli esperti di Kaspersky hanno sviluppato uno strumento di autocontrollo per gli utenti. Oltre a Pegasus vengono rilevati anche gli spyware iOS Reign e Predator.
Gli esperti di Kaspersky sono riusciti a sviluppare il nuovo metodo di rilevamento perché si sono resi conto che le infezioni di Pegasus lasciano tracce nel registro di sistema "Shutdown.log", che è contenuto nell'archivio diagnostico di ogni dispositivo mobile iOS. L'archivio contiene informazioni su ogni processo di riavvio, quindi le anomalie del malware Pegasus diventano visibili nel registro non appena un utente infetto riavvia il proprio dispositivo. Questi includono, tra l'altro, soprattutto nel caso dello spyware Pegasus, processi "sticky" che impediscono il riavvio e tracce di infezione scoperte dalla comunità della sicurezza informatica.
Pegasus lascia tracce di infezione
Analizzando il file Shutdown.log delle infezioni Pegasus, gli esperti di Kaspersky hanno trovato il percorso dell'infezione "/private/var/db/", che corrispondeva ai percorsi di altri malware iOS come Reign e Predator. Gli esperti di Kaspersky ritengono che questo file di registro abbia il potenziale per identificare le infezioni legate a queste famiglie di malware.
Sulla base di questi risultati è stato sviluppato uno strumento di autocontrollo per gli utenti. Con l'aiuto dello script The-Python3, Shutdown.log può essere estratto, analizzato e analizzato più facilmente. Lo strumento è disponibile gratuitamente su Github per macOS, Windows e Linux.
"L'analisi dei dump di Sysdiag è un metodo minimamente invasivo ed efficiente in termini di risorse che si basa su artefatti basati sul sistema per identificare potenziali infezioni dell'iPhone", spiega Maher Yamout, capo ricercatore sulla sicurezza presso GReAT di Kaspersky. “Utilizzando l’indicatore di infezione da questo registro e confermando l’infezione utilizzando l’elaborazione MVT (Mobile Verification Toolkit) di altri artefatti iOS, il registro diventa ora parte di un approccio olistico all’indagine sulle infezioni da malware iOS. Abbiamo verificato la coerenza comportamentale con altre infezioni di Pegasus analizzate, quindi prevediamo che fungerà da artefatto forense affidabile per supportare l’analisi delle infezioni”.
Consigli per la protezione contro lo spyware iOS avanzato
- Riavvia i dispositivi ogni giorno. Secondo una ricerca di Amnesty International e Citizen Lab, Pegasus si basa spesso su exploit zero-day non persistenti. Il riavvio regolare può aiutare a ripulire il dispositivo; Gli aggressori dovrebbero quindi reinfettarlo ancora e ancora.
- Utilizza la modalità di blocco perché i rapporti pubblici attestano il suo successo nel bloccare le infezioni da malware iOS.
Disattiva iMessage e FaceTime, che sono tra i servizi più sfruttati dagli hacker, quindi disabilitarli riduce il rischio di essere infettati da catene zero-click. - Aggiorna regolarmente i dispositivi mobili. Le ultime patch iOS dovrebbero essere installate immediatamente poiché molti kit di exploit iOS prendono di mira le vulnerabilità precedentemente corrette.
- Non aprire collegamenti nei messaggi poiché Pegasus può essere distribuito tramite exploit con 1 clic tramite SMS, e-mail o messenger.
- Creare regolarmente backup ed eseguire la diagnostica del sistema; Gli strumenti Kaspersky possono aiutare a rilevare il malware iOS.
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/