Kaspersky przedstawia narzędzie wykrywające oprogramowanie szpiegujące Pegasus w systemie iOS

Opublikowany: 18 stycznia 2024 r.

Naukowcy z Kaspersky opracowali nową metodę wykrywania infekcji powodowanych przez wyrafinowane oprogramowanie szpiegujące dla systemu iOS i udostępnili lekkie narzędzie dla użytkowników systemu iOS w celu ochrony ich urządzeń.

Narzędzie, iZamknięcie, jest w stanie zidentyfikować oznaki oprogramowania szpiegującego w systemie iOS z co najmniej 3 rodzin trudnych do wykrycia programów szpiegujących, w tym Pegasus, Predator firmy Intellexa i Reign firmy QuaDream.

Globalny zespół ds. badań i analiz firmy Kaspersky (GReAT) odkrył, że infekcje te pozostawiają ślady w często pomijanym pliku systemowym o nazwie Shutdown.log, znajdującym się w archiwum sysdiagnose urządzeń iOS, które rejestruje szczegóły przy każdym ponownym uruchomieniu urządzenia iOS. Badacze wyjaśniają, że po ponownym uruchomieniu urządzenia z systemem iOS zakażonego złośliwym oprogramowaniem Pegasus w pliku rejestrowane są anomalie wskazujące na obecność oprogramowania szpiegującego.

Wśród tych anomalii zespół zidentyfikował „lepkie” procesy, które zakłócają normalny proces ponownego uruchamiania, co jest cechą często łączoną z Pegasusem. Znaleźli także ślady infekcji, porównując swoje ustalenia ze znanymi zachowaniami oprogramowania szpiegującego zgłoszonymi przez społeczność zajmującą się cyberbezpieczeństwem.

Co więcej, analizując pliki Shutdown.log z urządzeń zainfekowanych Pegasusem, zespół zauważył powtarzający się wzorzec w ścieżce pliku „/private/var/db/”, który jest podobny do tych wykrywanych w przypadku infekcji innym złośliwym oprogramowaniem dla systemu iOS, np. Panowanie i drapieżnik.

„Analiza zrzutu sysdiag okazuje się minimalnie inwazyjna i nie wymaga dużych zasobów, gdyż opiera się na artefaktach systemowych w celu identyfikacji potencjalnych infekcji iPhone'a. Po otrzymaniu w tym dzienniku wskaźnika infekcji i potwierdzeniu infekcji za pomocą narzędzia Mobile Verification Toolkit (MVT) do przetwarzania innych artefaktów systemu iOS, dziennik ten staje się teraz częścią całościowego podejścia do badania infekcji złośliwym oprogramowaniem dla systemu iOS” – powiedział główny badacz ds. bezpieczeństwa w globalnym dziale badań i rozwiązań firmy Kaspersky Zespół analityczny Maher Yamout.

Na podstawie tych obserwacji badacze z Kaspersky sugerują, że plik Shutdown.log może być kluczowym zasobem umożliwiającym identyfikację urządzeń zainfekowanych tego typu złośliwym oprogramowaniem.

„Ponieważ potwierdziliśmy zgodność tego zachowania z innymi analizowanymi przez nas infekcjami Pegasusa, wierzymy, że będzie to niezawodny artefakt kryminalistyczny wspierający analizę infekcji” – dodał Yamout.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/