Nuovo Metodo iShutdown Rileva Spyware Come Pegasus su iPhone: Analisi e Contromisure
Ricercatori di sicurezza informatica hanno recentemente scoperto un nuovo metodo leggero, chiamato iShutdown, che si rivela fondamentale per individuare spyware come Pegasus su dispositivi Apple iOS, inclusi quelli noti come NSO Group's Pegasus, QuaDream's Reign e Intellexa's Predator.
Kaspersky, noto gigante della sicurezza informatica, ha condotto un'analisi su un gruppo di iPhone compromessi da Pegasus, rivelando tracce significative nel file di registro di sistema chiamato "Shutdown.log". Questo file basato su testo è presente su tutti i dispositivi iOS e registra ogni evento di riavvio insieme alle caratteristiche ambientali.
"Rispetto a metodi più complessi come l'immagine forense del dispositivo o un backup completo di iOS, il recupero del file Shutdown.log è relativamente semplice", spiega il ricercatore di sicurezza Maher Yamout. "Il file di registro è archiviato in un archivio sysdiagnose (sysdiag)."
L'analisi di Kaspersky ha individuato voci nel file di registro che segnalano casi in cui "processi persistenti", tipici degli spyware, causano ritardi nei riavvii, con Pegasus che spesso figura in oltre quattro avvisi di ritardo al riavvio.
Ulteriori indagini hanno rivelato la presenza di un percorso del file system comune a tutte e tre le famiglie di spyware: "/private/var/db/" per Pegasus e Reign, e "/private/var/tmp/" per Predator. Questo costituisce un indicatore cruciale di compromissione.
Va notato che il successo di questa metodologia dipende dalla frequenza con cui l'utente riavvia il dispositivo, variabile in base al proprio profilo di minaccia.
Per agevolare ulteriormente la comunità di sicurezza, Kaspersky ha reso pubbliche una serie di script Python per estrarre, analizzare e interpretare il file Shutdown.log, fornendo preziose statistiche sui riavvii.
Yamout sottolinea: "La natura leggera di questo metodo lo rende prontamente disponibile e accessibile. Inoltre, il file di registro può conservare voci per diversi anni, rendendolo un prezioso artefatto forense per l'analisi e l'identificazione di voci di registro anomale."
Questa scoperta è particolarmente rilevante mentre SentinelOne rivela che gli stealer di informazioni mirati a macOS, come KeySteal, Atomic e JaskaGo, si stanno rapidamente adattando per eludere la tecnologia antivirus integrata di Apple chiamata XProtect.
Il ricercatore di sicurezza Phil Stokes avverte: "Nonostante gli sforzi solidi di Apple per aggiornare il suo database di firme XProtect, queste varianti di malware in rapida evoluzione continuano a sfuggire. Fidarsi esclusivamente della rilevazione basata su firme è insufficiente, poiché gli attori delle minacce hanno i mezzi e il motivo per adattarsi rapidamente."
In conclusione, è imperativo rimanere vigili e adottare misure preventive per proteggere i dispositivi iOS da minacce come Pegasus. L'uso consapevole di metodologie come iShutdown può essere un'arma efficace nella lotta contro il crescente pericolo degli spyware.
Vulnerabilità e Patch Sicurezza
- Allarme Zero-Day: Aggiorna Subito Chrome per Risolvere una Nuova Vulnerabilità Attivamente Sfruttata
- Attacco Zero-Day: Hacker Cinesi Sfruttano Vulnerabilità Critiche in Ivanti Connect Secure e Policy Secure
- Citrix, VMware e Atlassian Colpiti da Flaw Critici – Urgente Applicazione Patch!
- Nuova Minaccia: Phemedrone Stealer Sfrutta Vulnerabilità Patchata di Windows Defender SmartScreen
- NoaBot: Nuovo Botnet Mirai per il Mining di Criptovalute su Server SSH
- Cisco Agisce Rapidamente: Risoluzione Vulnerabilità Critica in Unity Connection con gli Ultimi Aggiornamenti
- FBot: Il Nuovo Toolkit di Hacking Python Rivela Attacchi a Server Cloud e Piattaforme SaaS
- Hacker siriani distribuiscono Silver RAT C# stealthy ai criminali informatici
- Water Curupira Hackers Distribuiscono Attivamente il Malware PikaBot Loader: Analisi e Implicazioni
- Malware e Google MultiLogin: Accesso Persistente Nonostante il Reset della Password
- Nuova Variante di Bandook RAT: Risorge, Mirando i Sistemi Windows
- Vulnerabilità Critica in Ivanti Endpoint Manager: Patch Rilasciata
- Truffe Bitcoin: Attenti alle Frodi di Mining Online – Guida Anti-Phishing
- Nuovo caricatore malware Rugmi registra centinaia di rilevamenti giornalieri
- Apple iOS vulnerabile a spyware sofisticato che sfrutta una funzione hardware segreta
- Hacker cinesi sfruttano zero-day negli apparecchi ESG di Barracuda
- New Android Xamalicious Malware Affects 327,000 Devices: Data Theft and Financial Attacks
- Nuovo Malware Android Xamalicious Colpisce 327.000 Dispositivi: Dati Rubati e Attacchi Finanziari
- Carbanak: Malware Bancario Risorge con Nuove Tattiche di Ransomware
- Attacchi di Spear-Phishing di Cloud Atlas: Impatti sulle Imprese Russe
- Nuovo Backdoor ‘FalseFont’: Minaccia al Settore Difesa Avvertita da Microsoft
- Rischio Malware: Documenti Word Falsi usati per Diffondere Minaccia Nim
- Rischio: Plugin WordPress Fraudolento Espone Siti E-commerce al Furto di Carte di Credito
- Chameleon: Nuova Minaccia – Trojan Bancario Android Aggira l’Autenticazione Biometrica
- Spyware Predator: Analisi del Modello di Licensing Milionario e Impatto sulla Sicurezza Mobile
- Disattivazione BlackCat Ransomware: Lotta dell’FBI contro il Cybercrimine
- Rhadamanthys Malware: Swiss Army Knife dei Furti di Informazioni Emergenti
- Esperti svelano dettagli su Exploit Zero-Click RCE in Outlook
- Vulnerabilità nascoste delle App Web: Bug o Caratteristica?
- Storm-0539: Il Nuovo Pericolo delle Frodi con Buoni Regalo durante le Feste
- Botnet KV: Attacchi Silenziosi a Cisco, DrayTek e Fortinet con Routers e Firewall
- Scoperta minaccia NKAbuse: Malware DDoS su Tecnologia Blockchain NKN
- Minaccia BazaCall: Utilizzo di Google Forms nel Nuovo Attacco di Phishing
- Microsoft Avverte: Attacchi di Phishing e Mining di Criptovalute sfruttano OAuth
- Microsoft Patch Tuesday Dicembre 2023: Risolti 33 Difetti, 4 Critici
- Minacce Informatiche al Settore Sanitario: Strategie Vigili contro Ransomware e Vulnerabilità
- Rischi dell’Accesso Non Umano nel 2023: Attacchi Informatici e Sicurezza delle Identità
- Apache Struts 2 Vulnerabilità Critica di RCE – Patch di Sicurezza Necessaria
- Apple rilascia iOS 17.2 con la sua nuova app Journal
- AutoSpill: Nuovo attacco ruba credenziali da gestori password Android
- SLAM Attack: Nuova vulnerabilità basata su Spectre colpisce CPU Intel, AMD e Arm
- 5Ghoul: Nuove Vulnerabilità Colpiscono Dispositivi iOS e Android
- PoolParty: Tecniche Iniezione Processi sfuggono EDR Windows
- Operazione RusticWeb: Malware basato su Rust prende di mira le entità del governo indiano
- UAC-0099 Sfrutta Vulnerabilità WinRAR per Attaccare Aziende Ucraine con Malware LONEPAGE
- SpectralBlur: Nuovo Malware macOS, Minaccia Nordcoreana Backdoor
Fonte notizia
windows8.myblog.it 2024 01 17 nuovo-metodo-ishutdown-rileva-spyware-come-pegasus-su-iphone-analisi-e-contromisure