Kaspersky

Los investigadores de Kaspersky han desarrollado un método ligero para detectar indicadores de infección de software espía sofisticado de iOS como Pegasus de NSO Group, Reign de QuaDream y Predator de Intellexa mediante el análisis de un archivo de registro creado en dispositivos iOS.

Analizando el archivo Shutdown.log

Los expertos de la compañía descubrieron que las infecciones de Pegasus dejan rastros en el registro inesperado del sistema, Shutdown.log, almacenado en el archivo sysdiagnose de cualquier dispositivo móvil iOS. Este archivo retiene información de cada sesión de reinicio, lo que significa que las anomalías asociadas con el malware Pegasus se hacen evidentes en el registro si un usuario infectado reinicia su dispositivo.

Entre los identificados se encontraban casos de procesos «pegajosos» que impedían los reinicios, particularmente aquellos vinculados a Pegasus, junto con rastros de infección descubiertos a través de observaciones de la comunidad de ciberseguridad.

“El análisis de volcado de sysdiag demuestra ser mínimamente intrusivo y requiere pocos recursos, ya que se basa en artefactos basados ​​en el sistema para identificar posibles infecciones del iPhone. Habiendo recibido el indicador de infección en este registro y confirmada la infección mediante el procesamiento de Mobile Verification Toolkit (MVT) de otros artefactos de iOS, este registro ahora se convierte en parte de un enfoque holístico para investigar la infección de malware de iOS”, afirmó Maher Yamout, investigador principal de seguridad de Kaspersky. Equipo Global de Investigación y Análisis (GReAT).

«Dado que confirmamos la coherencia de este comportamiento con las otras infecciones de Pegasus que analizamos, creemos que servirá como un artefacto forense confiable para respaldar el análisis de infecciones».

Al analizar Shutdown.log en las infecciones de Pegasus, los expertos de Kaspersky observaron una ruta de infección común, específicamente “/private/var/db/” , que refleja las rutas observadas en infecciones causadas por otro malware de iOS como Reign y Predator. Los investigadores de la compañía sugieren que este archivo de registro tiene potencial para identificar infecciones relacionadas con estas familias de malware.

Para facilitar la búsqueda de infecciones de software espía, los expertos de Kaspersky desarrollaron una utilidad de autocomprobación para los usuarios. Los scripts de Python3 facilitan la extracción, el análisis y el análisis del artefacto Shutdown.log. La herramienta se comparte públicamente en GitHub y está disponible para macOS, Windows y Linux.

Prevenir una infección de software espía de iOS

El software espía de iOS, como Pegasus, es muy sofisticado. Si bien es posible que la comunidad cibernética no siempre impida una explotación exitosa, los usuarios pueden tomar medidas para dificultar la tarea de los atacantes.

Para protegerse contra el software espía avanzado en iOS, los expertos de Kaspersky recomiendan lo siguiente:

  • Reinicie diariamente: según una investigación de Amnistía Internacional y Citizen Lab , Pegasus a menudo se basa en días 0 con clic cero sin persistencia. Los reinicios diarios regulares pueden ayudar a limpiar el dispositivo, lo que hace necesario que los atacantes reinfecten repetidamente, aumentando así las posibilidades de detección con el tiempo.
  • Modo de bloqueo : ha habido varios informes públicos sobre el éxito del modo de bloqueo recientemente agregado de Apple para bloquear la infección de malware de iOS.
  • Deshabilite iMessage y Facetime: iMessage, habilitado de forma predeterminada, es un vector de explotación atractivo. Deshabilitarlo reduce el riesgo de ser víctima de cadenas de clic cero. El mismo consejo se aplica a Facetime, otro vector potencial de explotación.
  • Mantenga el dispositivo actualizado: instale los últimos parches de iOS de inmediato, ya que muchos kits de exploits de iOS atacan vulnerabilidades ya parcheadas. Las actualizaciones rápidas son cruciales para adelantarse a algunos atacantes de estados-nación que pueden aprovechar las actualizaciones retrasadas.
  • Tenga cuidado con los enlaces: evite hacer clic en enlaces recibidos en mensajes, ya que los clientes de Pegasus pueden recurrir a exploits de 1 clic enviados a través de SMS, otros mensajeros o correo electrónico.
  • Verifique las copias de seguridad y los sysdiags con regularidad: procesar copias de seguridad cifradas y archivos Sysdiagnose utilizando MVT y las herramientas de Kaspersky puede ayudar a detectar malware en iOS.

Al incorporar estas prácticas a su rutina, los usuarios pueden fortalecer sus defensas contra el software espía avanzado de iOS y reducir el riesgo de ataques exitosos.

Fuente y redacción: helpnetsecurity.com

Compartir