El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) de Kasperky descubrió que las infecciones causadas por Pegasus dejan rastros en el registro del sistema: Shutdown.log. Al analizar este archivo en las infecciones de Pegasus, los expertos de Kaspersky observaron una ruta de infección común, concretamente /private/var/db/, reflejada en infecciones causadas por otros malware para iOS, como Reign y Predator.
Los analistas de la compañía sugieren que este archivo de registro tiene potencial para identificar infecciones relacionadas con estas familias de malware.
Para facilitar la búsqueda de infecciones de spyware, los expertos de Kaspersky han desarrollado una herramienta de autocomprobación disponible en GitHub para macOS, Windows y Linux. Los scripts Python3 facilitan la extracción, el análisis y el estudio sintáctico de Shutdown.log, el cual se comparte públicamente en GitHub y está disponible para macOS, Windows y Linux.
Para mantenerse protegido de este tipo de ataques, los expertos de Kaspersky han lanzado una serie de recomendaciones:
- Reinicie diariamente. Según una investigación de Amnistía Internacional y Citizen Lab, Pegasus realiza a menudo ataques de día cero. Los reinicios del sistema diarios y regulares pueden ayudar a limpiar el dispositivo, de tal manera que los atacantes tendrían que volver a infectarlo, aumentando así las posibilidades de detección con el tiempo.
- Lockdown. Varios informes respaldan el éxito del modo lockdown de Apple para evitar la infección de malware de iOS.
- Desactive iMessage y Facetime. La aplicación iMessage, activada por defecto, es una vía de entrada para los ciberdelincuentes. Deshabilitarla reduce el riesgo de ser víctima de ataques click 0. El mismo consejo se aplica a Facetime.
- Mantenga el dispositivo actualizado. Instala las últimas actualizaciones de iOS cuanto antes, ya que muchos kits de explotación de iOS se centran en este aspecto. Las actualizaciones rápidas son cruciales para adelantarse a algunos atacantes que pueden aprovecharse de los retrasos en las actualizaciones.
- Tenga cuidado con los enlaces. Evita acceder a links recibidos a través de mensajes recibidos por SMS, email y cualquier otra aplicación.
- Compruebe regularmente las copias de seguridad y los sysdiags. Procesar las copias de seguridad cifradas y los archivos sysdiagnose con MVT y las herramientas de Kaspersky puede ayudar a detectar el malware de iOS.
Pegasus es un spyware, o software espía, desarrollado por la firma israelí de ciberinteligencia NSO Group para espiar teléfonos móviles y recopilar sus datos. El software espía ha sido muy controvertido y se ha utilizado para rastrear a políticos, líderes gubernamentales, activistas de derechos humanos, disidentes y periodistas. Pegasus robó, al menos, 2,57 GB del móvil de Pedro Sánchez.
NSO Group afirma que su producto se vende exclusivamente a agencias gubernamentales de seguridad y aplicación de la ley y sólo con el fin de ayudar en operaciones de rescate y luchar contra delincuentes, como blanqueadores de dinero, traficantes de drogas y sexo y terroristas.
