Kaspersky rivela un nuovo metodo per rilevare lo spyware Pegasus

I ricercatori di Kaspersky hanno svelato un nuovo metodo per rilevare spyware iOS sofisticati come Pegasus, oltre ad altre nuove minacce simili come Reign e Predator, che permette agli utenti di controllare in autonomia i propri dispositivi.

Il Global Research and Analysis Team (GReAT) di Kaspersky ha sviluppato un metodo semplice per rilevare gli indicatori di infezione da spyware iOS sofisticati come Pegasus, Reign e Predator attraverso l’analisi di Shutdown.log, un artefatto forense finora trascurato.

Gli esperti dell’azienda hanno scoperto che, inaspettatamente, le infezioni di Pegasus lasciano tracce nel log di sistema Shutdown.log, il quale viene memorizzato in ogni archivio “sysdiagnose” generato su un qualsiasi dispositivo mobile iOS. Questo archivio conserva le informazioni di ogni sessione di riavvio, il che significa che le anomalie associate al malware Pegasus diventano evidenti nel “log” se un utente infetto riavvia il proprio dispositivo.

Tra queste, sono stati identificati casi di processi che impediscono i riavvii, in particolare quelli legati a Pegasus, insieme a tracce di infezione scoperte dalle analisi pubbliche della comunità di cybersicurezza.

“L’analisi del dump di “sysdiag” si è dimostrata essere poco intrusiva e poco dispendiosa in termini di risorse, basandosi su artefatti di sistema per identificare potenziali infezioni dell’iPhone. Dopo aver ricevuto la segnalazione di infezione da questo registro e confermato l’infezione utilizzando l’elaborazione di dati artefatti iOS da parte di Mobile Verification Toolkit (MTV), questo registro diventa ora parte di un approccio olistico per indagare sulle infezioni da malware iOS. Poiché abbiamo confermato la consistenza di questo comportamento con le altre infezioni di Pegasus che abbiamo analizzato, crediamo che servirà come artefatto forense affidabile per supportare l’analisi dell’infezione”, ha commentato Maher Yamout, Lead Security Researcher di Kaspersky’s GReAT.

Dall’analisi del file Shutdown.log nelle infezioni da Pegasus, gli esperti di Kaspersky hanno osservato un “path” utilizzato più frequentemente durante le infezioni, ovvero “/private/var/db/”, che rispecchia i "path" rilevati nelle infezioni causate da altri malware iOS, come Reign e Predator. I ricercatori dell’azienda suggeriscono che questo file di log ha un potenziale per identificare le infezioni correlate a queste famiglie di malware.

Per facilitare la ricerca di infezioni da spyware, gli esperti di Kaspersky hanno sviluppato una utility di autoverifica per gli utenti. Gli script Python3 facilitano l’estrazione, l’analisi e il parsing dell’artefatto Shutdown.log. Lo strumento è condiviso pubblicamente su GitHub e disponibile per MacOS, Windows e Linux.