A Equipe Global de Pesquisa e Análise da Kaspersky (GReAT) desenvolveu um novo método de detecção para Pegasus e spyware iOS igualmente sofisticado. O provedor de segurança cibernética está fornecendo uma ferramenta de verificação de infecção disponível publicamente no Github.
O spyware Pegasus foi usado recentemente na Alemanha. Para facilitar a identificação de infecções por spyware, os especialistas da Kaspersky desenvolveram uma ferramenta de autoverificação para os usuários. Além do Pegasus, também são detectados os spywares Reign e Predator para iOS.
Os especialistas da Kaspersky conseguiram desenvolver o novo método de detecção porque perceberam que as infecções por Pegasus deixam rastros no log do sistema “Shutdown.log”, que está contido no arquivo de diagnóstico de cada dispositivo móvel iOS. O arquivo contém informações sobre cada processo de reinicialização, de modo que as anomalias do malware Pegasus se tornam visíveis no log assim que um usuário infectado reinicia o dispositivo. Estes incluem, entre outras coisas, especialmente com o spyware Pegasus, processos “pegajosos” que impedem reinicializações e vestígios de infecção descobertos pela comunidade de segurança cibernética.
Pegasus deixa vestígios de infecção
Ao analisar o Shutdown.log de infecções por Pegasus, os especialistas da Kaspersky encontraram o caminho de infecção “/private/var/db/”, que correspondia aos caminhos de outros malwares para iOS, como Reign e Predator. Os especialistas da Kaspersky acreditam que este arquivo de log tem o potencial de identificar infecções relacionadas a essas famílias de malware.
Com base nessas descobertas, foi desenvolvida uma ferramenta de autoverificação para os usuários. Com a ajuda do script The-Python3, o Shutdown.log pode ser extraído, analisado e analisado mais facilmente. A ferramenta está disponível gratuitamente no Github para macOS, Windows e Linux.
“A análise de dump do Sysdiag é um método minimamente invasivo e eficiente em termos de recursos que se baseia em artefatos baseados no sistema para identificar possíveis infecções no iPhone”, explica Maher Yamout, pesquisador-chefe de segurança do GReAT da Kaspersky. “Ao usar o indicador de infecção deste log e confirmar a infecção usando o processamento MVT (Mobile Verification Toolkit) de outros artefatos do iOS, o log agora se torna parte de uma abordagem holística para investigar infecções por malware do iOS. Verificamos a consistência comportamental com outras infecções por Pegasus analisadas, por isso esperamos que sirva como um artefato forense confiável para apoiar a análise de infecções.”
Recomendações para proteção contra spyware avançado para iOS
- Reinicie os dispositivos diariamente. De acordo com uma pesquisa da Amnistia Internacional e do Citizen Lab, o Pegasus é frequentemente baseado em explorações não persistentes de zero-click e zero-day. Reiniciar regularmente pode ajudar a limpar o dispositivo; Os invasores teriam então que reinfectá-lo repetidas vezes.
- Use o modo de bloqueio porque os relatórios públicos atestam seu sucesso no bloqueio de infecções por malware para iOS.
Desative o iMessage e o Facetime, que estão entre os serviços mais explorados pelos hackers, portanto, desativá-los reduz o risco de ser infectado por cadeias de zero cliques. - Atualize os dispositivos móveis regularmente. Os patches mais recentes do iOS devem ser instalados imediatamente, pois muitos kits de exploração do iOS têm como alvo vulnerabilidades corrigidas anteriormente.
- Não abra links em mensagens, pois o Pegasus pode ser distribuído por meio de explorações de 1 clique via SMS, e-mail ou mensageiro.
- Crie regularmente backups e realize diagnósticos do sistema; As ferramentas da Kaspersky podem ajudar a detectar malware no iOS.
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/