Investigadores de Equipo de análisis e investigación global de Kaspersky (GReAT) ha desarrollado y lanzado un método ligero para ayudar a los usuarios de iPhone de Apple en riesgo de ser atacados por la Software espía Pegaso detectar su presencia en sus dispositivos.
El ecosistema de Apple ha sido fuertemente atacado por los desarrolladores de software espía en el pasado debido a su amplia popularidad. Pegaso, desarrollado por el desacreditado desarrollador israelí NSO y vendido a gobiernos que lo utilizaron para espiar a activistas, disidentes, periodistas y opositores políticos, es posiblemente la más conocida de estas herramientas. Sin embargo, existen otros, como Depredadorque se originó en una empresa europea llamada Cytrox, y reinarque se cree que fue utilizado tanto por la NSA como por el GCHQ.
Kaspersky afirma que su nueva herramienta revela la presencia de Pegasus mediante el análisis de un artefacto forense previamente inexplorado llamado Shutdown.log. Shutdown.log es un registro inesperado del sistema almacenado en el archivo sysdiagnose de un dispositivo iOS, que retiene información de cada sesión de reinicio. Como resultado, el equipo GReAT descubrió que las anomalías relacionadas con Pegasus se hacen evidentes si un usuario infectado reinicia el dispositivo.
Entre los rastros encontrados se encontraban casos de procesos persistentes que impedían los reinicios y rastros de infección observados previamente por otros investigadores cibernéticos.
El equipo también observó una ruta de infección común que reflejaba las observadas en las infecciones de Predator y Reign, lo que sugeriría que la metodología también tiene potencial para identificar esas infecciones.
“El análisis de volcado de sysdiag demuestra ser mínimamente intrusivo y requiere pocos recursos, ya que se basa en artefactos basados en el sistema para identificar posibles infecciones del iPhone. Habiendo recibido el indicador de infección en este registro y confirmada la infección utilizando el procesamiento Mobile Verification Toolkit (MVT) de otros artefactos de iOS, este registro ahora se convierte en parte de un enfoque holístico para investigar la infección de malware de iOS”, afirmó Maher Yamout, investigador principal de seguridad de Kaspersky GReAT.
“Dado que confirmamos la coherencia de este comportamiento con las otras infecciones de Pegasus que analizamos, creemos que servirá como un artefacto forense confiable para respaldar el análisis de infecciones”.
Autoevaluación
La nueva herramienta de autoevaluación de Kaspersky es un script Python3 que extrae, analiza y analiza el artefacto Shutdown.log. Ha sido disponible para uso público en GitHuby también se puede utilizar en dispositivos que ejecutan macOS, Windows y Linux.
Además de aprovechar su nueva herramienta, Kaspersky también recomendó a los usuarios que creen que pueden estar en riesgo de sufrir intentos orquestados de espiarlos a través de sus dispositivos que tomen una serie de medidas adicionales.
Estos incluyen reiniciar los dispositivos diariamente, ya que muchos de los exploits de día cero que Pegasus ha utilizado históricamente no permiten la persistencia si se reinician; encendiendo Modo de bloqueo integrado de Apple; deshabilitar iMessage y Facetime, ambos muy utilizados como vector de explotación; parchear dispositivos rápidamente cada vez que Apple lanza nuevas actualizaciones de seguridad; ser cauteloso con su comportamiento en línea (evitar hacer clic en enlaces recibidos en mensajes, por ejemplo); y comprobar periódicamente las copias de seguridad y los sysdiags.
Kaspersky fue el objetivo de un software espía de iOS sin clic denominado Triangulación, que se entregó a partir de 2019 a través de Dos días cero encadenados en el sistema operativo.. Este malware es particularmente sofisticado, especialmente en lo que respecta a algunas de las metodologías que implementa. para ofuscar su cadena de ataque y presencia.
Se desconocen los orígenes de Triangulación, pero dada la herencia rusa de Kaspersky, sus revelaciones fueron utilizadas posteriormente por la agencia de seguridad FSB del Kremlin para acusar a Apple de connivencia con los servicios de inteligencia estadounidenses para espiar a la empresa cibernética. Apple lo ha negado enérgicamente, diciendo que nunca trabajaría con ningún gobierno para insertar una puerta trasera en sus productos.
2024-01-16 13:51:03
1705413584
#Kaspersky #comparte #herramienta #búsqueda #software #espía #Pegasus
