Kaspersky presenta uno strumento che rileva lo spyware Pegasus su iOS

Pubblicato il: Gennaio 18, 2024

Ricercatori a Kaspersky hanno sviluppato un nuovo metodo per rilevare le infezioni da sofisticati spyware iOS e rilasciato uno strumento leggero per gli utenti iOS per proteggere i propri dispositivi.

Lo strumento, Chiudo, è in grado di identificare segni di spyware su iOS appartenenti ad almeno 3 famiglie di spyware difficili da rilevare, tra cui Pegasus, Intellexa's Predator e QuaDream's Reign.

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto che queste infezioni lasciano tracce in un file di sistema spesso trascurato chiamato Shutdown.log, situato nell'archivio sysdiagnose dei dispositivi iOS che registra i dettagli ogni volta che il dispositivo iOS viene riavviato. Quando un dispositivo iOS infetto dal malware Pegasus viene riavviato, i ricercatori spiegano che il file registra anomalie che indicano la presenza di spyware.

Tra queste anomalie, il team ha identificato processi “persistenti” che interrompono il normale processo di riavvio, una caratteristica spesso legata a Pegasus. Hanno anche trovato tracce di infezioni confrontando i loro risultati con comportamenti noti di spyware segnalati dalla comunità della sicurezza informatica.

Inoltre, nell'analisi dei file Shutdown.log dei dispositivi infetti da Pegasus, il team ha notato uno schema ricorrente nel percorso del file "/private/var/db/", simile a quello riscontrato nelle infezioni da altri malware iOS, come Regno e predatore.

“L'analisi del dump di sysdiag si rivela minimamente invasiva e richiede poche risorse, basandosi su artefatti basati sul sistema per identificare potenziali infezioni dell'iPhone. Dopo aver ricevuto l'indicatore di infezione in questo registro e aver confermato l'infezione utilizzando l'elaborazione di altri artefatti iOS tramite Mobile Verification Toolkit (MVT), questo registro diventa ora parte di un approccio olistico all'indagine sull'infezione da malware iOS", ha affermato il ricercatore capo della sicurezza presso il Global Research and and Research di Kaspersky. Gruppo di analisi Maher Yamout.

Sulla base di queste osservazioni, i ricercatori di Kaspersky suggeriscono che il file Shutdown.log potrebbe essere una risorsa chiave per identificare i dispositivi infettati da questi tipi di malware.

"Poiché abbiamo confermato la coerenza di questo comportamento con le altre infezioni di Pegasus che abbiamo analizzato, riteniamo che fungerà da artefatto forense affidabile per supportare l'analisi delle infezioni", ha aggiunto Yamout.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/