Kaspersky revela novo método para deteção do Pegasus

Kaspersky revela novo método para deteção do Pegasus

Os investigadores da Kaspersky revelaram um novo método simplificado que deteta o Pegasus, um spyware sofisticado para iOS, e novas ameaças semelhantes a este, denominadas de Reign e Predator, criando assim uma ferramenta de auto-verificação para os utilizadores.

A Equipa Global de Investigação e Análise (GReAT) da Kaspersky desenvolveu um método simplificado, para detetar indicadores de infeção de spyware sofisticado para iOS, como o Pegasus, o Reign e o Predator, através da análise do Shutdown.log, um artefacto forense até agora inexplorado.

Os especialistas da empresa descobriram que as infeções do Pegasus deixam vestígios no registo inesperado do sistema Shutdown.log, armazenado no arquivo sysdiagnose de qualquer dispositivo iOS. Este arquivo retém informações de cada sessão de reinício, o que significa que as anomalias associadas ao malware Pegasus se tornam aparentes no registo quando um utilizador infetado reinicia o seu dispositivo.

Entre as anomalias identificadas encontram-se os casos de processos que impedem o reinício, particularmente os ligados ao Pegasus, juntamente com vestígios de infeção descobertos através das observações da comunidade de cibersegurança.

“A análise do sysdiag dump revela-se minimamente intrusiva e pouco pesada para o sistema, focando-se em artefactos baseados no sistema para identificar potenciais infeções do iPhone. Tendo recebido o indicador de infeção neste registo e confirmado a infeção usando o processamento do Mobile Verification Toolkit (MVT) de outros artefactos iOS, este registo torna-se agora parte de uma abordagem holística para investigar a infeção por malware iOS. Uma vez que confirmámos a consistência deste comportamento com as outras infeções Pegasus que analisámos, acreditamos que servirá como um artefacto forense fiável para apoiar a análise da infeção”, explica Maher Yamout, investigador principal de segurança no GReAT da Kaspersky.

Analisando o ficheiro Shutdown.log nas infeções Pegasus, os especialistas da Kaspersky observaram um caminho comum, especificamente "/private/var/db/", que reflete os caminhos vistos em infeções causadas por outro malware iOS como o Reign e o Predator. Os investigadores da empresa sugerem que este ficheiro de registo tem potencial para identificar infeções relacionadas com estas famílias de malware.

Para facilitar a procura de infeções através de spyware, os especialistas da Kaspersky desenvolveram uma ferramenta de auto-verificação para os utilizadores. Os scripts Python3 facilitam a extração e análise do artefacto Shutdown.log. A ferramenta é partilhada publicamente no GitHub e está disponível para macOS, Windows e Linux.

O spyware para iOS, como o Pegasus, é altamente sofisticado. Embora a comunidade cibernética nem sempre possa impedir uma exploração bem-sucedida, os utilizadores podem tomar medidas para dificultar a tarefa dos atacantes.

Para se protegerem contra spyware avançado no iOS, os especialistas da Kaspersky recomendam o seguinte:

· Reiniciar diariamente os seus dispositivos: De acordo com a investigação da Amnistia Internacional e do Citizen Lab, o Pegasus baseia-se muitas vezes em zero-days de clique zero sem persistência. Reiniciar diariamente o seu dispositivo pode ajudar a limpá-lo, tornando necessário que os atacantes reinfectem repetidamente, o que aumenta assim as hipóteses de deteção ao longo do tempo.

· Usar o modo de bloqueio: Tem havido vários relatórios públicos sobre o sucesso do recém-adicionado modo de bloqueio da Apple no combate à infeção por malware do iOS.

· Desativar o iMessage e o Facetime: Estas aplicações são vetores de exploração atrativos. A sua desativação reduz o risco de ser vítima de cadeias de zero cliques.

· Manter o dispositivo atualizado: Instale prontamente as últimas correções do iOS, uma vez que muitos kits de exploração do iOS visam vulnerabilidades já corrigidas. As atualizações rápidas são cruciais para se manter à frente de alguns atacantes que podem explorar atualizações atrasadas.

· Cuidado com as hiperligações: Evite clicar em hiperligações, uma vez que os clientes da Pegasus podem recorrer a exploits de 1 clique que são entregues através de SMS ou e-mail.

· Verificar regularmente as cópias de segurança e os Sysdiags: O processamento de cópias de segurança encriptadas e de arquivos Sysdiagnose utilizando MVT e as ferramentas da Kaspersky pode ajudar a detetar malware para iOS.

Ao incorporar estas práticas na sua rotina, os utilizadores podem reforçar as suas defesas contra spyware avançado para iOS e reduzir o risco de ataques.