Threats
Investigadores revelaram um novo método simplificado que deteta o spyware para iOS Pegasus, assim como ameaças semelhantes, como o Reign e Predator
28/01/2024
|
A Equipa Global de Investigação e Análise (GReAT) da Kaspersky desenvolveu um método simplificado para detetar indicadores de infeção de spyware sofisticado para iOS, como o Pegasus, o Reign e o Predator, através da análise do Shutdown.log, um artefacto forense até agora inexplorado, diz a empresa. Os especialistas da empresa descobriram que as infeções do Pegasus deixam vestígios no registo inesperado do sistema Shutdown.log, armazenado no arquivo sysdiagnose de qualquer dispositivo iOS. Este arquivo retém informações de cada sessão de reinício, o que significa que as anomalias associadas ao malware Pegasus se tornam aparentes no registo quando um utilizador infetado reinicia o seu dispositivo. Entre as anomalias identificadas encontram-se os casos de processos que impedem o reinício, particularmente os ligados ao Pegasus, juntamente com vestígios de infeção descobertos através das observações da comunidade de cibersegurança. “A análise do sysdiag dump revela-se minimamente intrusiva e pouco pesada para o sistema, focando-se em artefactos baseados no sistema para identificar potenciais infeções do iPhone. Tendo recebido o indicador de infeção neste registo e confirmado a infeção usando o processamento do Mobile Verification Toolkit (MVT) de outros artefactos iOS, este registo torna-se agora parte de uma abordagem holística para investigar a infeção por malware iOS. Uma vez que confirmámos a consistência deste comportamento com as outras infeções Pegasus que analisámos, acreditamos que servirá como um artefacto forense fiável para apoiar a análise da infeção”, explica Maher Yamout, investigador principal de segurança no GReAT da Kaspersky. Analisando o ficheiro Shutdown.log nas infeções Pegasus, os especialistas da Kaspersky observaram um caminho comum, especificamente "/private/var/db/", que reflete os caminhos vistos em infeções causadas por outro malware iOS como o Reign e o Predator. Os investigadores da empresa sugerem que este ficheiro de registo tem potencial para identificar infeções relacionadas com estas famílias de malware. Para facilitar a procura de infeções através de spyware, os especialistas da Kaspersky desenvolveram uma ferramenta de autoverificação para os utilizadores. Os scripts Python3 facilitam a extração e análise do artefacto Shutdown.log. A ferramenta é partilhada publicamente no GitHub e está disponível para macOS, Windows e Linux. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
Ciberataques exigem mais de sete meses para recuperação total
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
THREATS
Uso de anexos SVG cresce em emails de phishing para evitar a deteção
THREATS
Simuladores de movimento do rato são possíveis ciberameaças
THREATS
Cibercriminosos atacam vítimas na Europa com malware Strela Stealer
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
