I ricercatori di Kaspersky hanno svelato un nuovo metodo per rilevare spyware iOS sofisticati come Pegasus, oltre ad altre nuove minacce simili come Reign e Predator, che permette agli utenti di controllare in autonomia i propri dispositivi
Il Global Research and Analysis Team (GReAT) di Kaspersky ha sviluppato un metodo semplice per rilevare gli indicatori di infezione da spyware iOS sofisticati come Pegasus, Reign e Predator attraverso l’analisi di Shutdown.log, un artefatto forense finora trascurato.
Gli esperti dell’azienda hanno scoperto che, inaspettatamente, le infezioni di Pegasus lasciano tracce nel log di sistema Shutdown.log, il quale viene memorizzato in ogni archivio “sysdiagnose” generato su un qualsiasi dispositivo mobile iOS. Questo archivio conserva le informazioni di ogni sessione di riavvio, il che significa che le anomalie associate al malware Pegasus diventano evidenti nel “log” se un utente infetto riavvia il proprio dispositivo.
Tra queste, sono stati identificati casi di processi che impediscono i riavvii, in particolare quelli legati a Pegasus, insieme a tracce di infezione scoperte dalle analisi pubbliche della comunità di cybersicurezza.
“L’analisi del dump di “sysdiag” si è dimostrata essere poco intrusiva e poco dispendiosa in termini di risorse, basandosi su artefatti di sistema per identificare potenziali infezioni dell’iPhone. Dopo aver ricevuto la segnalazione di infezione da questo registro e confermato l’infezione utilizzando l’elaborazione di dati artefatti iOS da parte di Mobile Verification Toolkit (MTV), questo registro diventa ora parte di un approccio olistico per indagare sulle infezioni da malware iOS. Poiché abbiamo confermato la consistenza di questo comportamento con le altre infezioni di Pegasus che abbiamo analizzato, crediamo che servirà come artefatto forense affidabile per supportare l’analisi dell’infezione”, ha commentato Maher Yamout, Lead Security Researcher di Kaspersky’s GReAT.
Dall’analisi del file Shutdown.log nelle infezioni da Pegasus, gli esperti di Kaspersky hanno osservato un “path” utilizzato più frequentemente durante le infezioni, ovvero “/private/var/db/”, che rispecchia i “path” rilevati nelle infezioni causate da altri malware iOS, come Reign e Predator. I ricercatori dell’azienda suggeriscono che questo file di log ha un potenziale per identificare le infezioni correlate a queste famiglie di malware.
Per facilitare la ricerca di infezioni da spyware, gli esperti di Kaspersky hanno sviluppato una utility di autoverifica per gli utenti. Gli script Python3 facilitano l’estrazione, l’analisi e il parsing dell’artefatto Shutdown.log. Lo strumento è condiviso pubblicamente su GitHub e disponibile per MacOS, Windows e Linux.
Gli spyware iOS, come Pegasus, sono altamente sofisticati. Sebbene la cyber community non possa sempre impedirne lo sfruttamento, gli utenti possono adottare misure per rendere difficile il compito degli aggressori. Per proteggersi da spyware avanzati su iOS, gli esperti di Kaspersky consigliano:
- Riavvio quotidiano: secondo una ricerca di Amnesty International e Citizen Lab, Pegasus si basa spesso su 0-day senza click e senza persistenza. I riavvii giornalieri regolari possono aiutare a pulire il dispositivo, rendendo necessario per gli aggressori reinfettare ripetutamente, aumentando così le possibilità di rilevamento nel tempo.
- Modalità di isolamento: ci sono stati diversi report pubblici sul successo della nuova modalità di isolamento di Apple nel fermare l’infezione di malware iOS.
- Disattivare iMessage e Facetime: iMessage, attivo di default, è un vettore di “exploiting” particolarmente attraente per gli attaccanti. Disabilitarlo riduce il rischio di cadere vittima di catene zero-click. Lo stesso consiglio vale per Facetime, un altro potenziale vettore di attacco.
- Mantenere il dispositivo aggiornato: installare tempestivamente le ultime patch per iOS, poiché molti kit di exploit per iOS mirano alle vulnerabilità già patchate. La rapidità degli aggiornamenti è fondamentale per evitare che alcuni aggressori “Nation-State” sfruttino gli aggiornamenti rimandati.
- Prestare attenzione ai link: evitare di aprire link ricevuti per messaggio, poiché i membri di Pegasus potrebbero ricorrere a exploit 1 click consegnati tramite SMS, altri messenger o e-mail.
- Controllare regolarmente backup e sysdiag: l’elaborazione dei backup crittografati e degli archivi Sysdiagnose con gli strumenti MVT e Kaspersky può aiutare a rilevare il malware iOS.
Adottando queste pratiche nella routine, gli utenti possono rafforzare le proprie difese contro lo spyware avanzato per iOS e ridurre il rischio di successo degli attacchi.
