Nuovo Metodo iShutdown Rileva Spyware Come Pegasus su iPhone: Analisi e Contromisure
Ricercatori di sicurezza informatica hanno recentemente scoperto un nuovo metodo leggero, chiamato iShutdown, che si rivela fondamentale per individuare spyware come Pegasus su dispositivi Apple iOS, inclusi quelli noti come NSO Group’s Pegasus, QuaDream’s Reign e Intellexa’s Predator.
Kaspersky, noto gigante della sicurezza informatica, ha condotto un’analisi su un gruppo di iPhone compromessi da Pegasus, rivelando tracce significative nel file di registro di sistema chiamato “Shutdown.log”. Questo file basato su testo è presente su tutti i dispositivi iOS e registra ogni evento di riavvio insieme alle caratteristiche ambientali.
“Rispetto a metodi più complessi come l’immagine forense del dispositivo o un backup completo di iOS, il recupero del file Shutdown.log è relativamente semplice”, spiega il ricercatore di sicurezza Maher Yamout. “Il file di registro è archiviato in un archivio sysdiagnose (sysdiag).”
L’analisi di Kaspersky ha individuato voci nel file di registro che segnalano casi in cui “processi persistenti”, tipici degli spyware, causano ritardi nei riavvii, con Pegasus che spesso figura in oltre quattro avvisi di ritardo al riavvio.
Ulteriori indagini hanno rivelato la presenza di un percorso del file system comune a tutte e tre le famiglie di spyware: “/private/var/db/” per Pegasus e Reign, e “/private/var/tmp/” per Predator. Questo costituisce un indicatore cruciale di compromissione.
Va notato che il successo di questa metodologia dipende dalla frequenza con cui l’utente riavvia il dispositivo, variabile in base al proprio profilo di minaccia.
Per agevolare ulteriormente la comunità di sicurezza, Kaspersky ha reso pubbliche una serie di script Python per estrarre, analizzare e interpretare il file Shutdown.log, fornendo preziose statistiche sui riavvii.
Yamout sottolinea: “La natura leggera di questo metodo lo rende prontamente disponibile e accessibile. Inoltre, il file di registro può conservare voci per diversi anni, rendendolo un prezioso artefatto forense per l’analisi e l’identificazione di voci di registro anomale.”
Questa scoperta è particolarmente rilevante mentre SentinelOne rivela che gli stealer di informazioni mirati a macOS, come KeySteal, Atomic e JaskaGo, si stanno rapidamente adattando per eludere la tecnologia antivirus integrata di Apple chiamata XProtect.
Il ricercatore di sicurezza Phil Stokes avverte: “Nonostante gli sforzi solidi di Apple per aggiornare il suo database di firme XProtect, queste varianti di malware in rapida evoluzione continuano a sfuggire. Fidarsi esclusivamente della rilevazione basata su firme è insufficiente, poiché gli attori delle minacce hanno i mezzi e il motivo per adattarsi rapidamente.”
In conclusione, è imperativo rimanere vigili e adottare misure preventive per proteggere i dispositivi iOS da minacce come Pegasus. L’uso consapevole di metodologie come iShutdown può essere un’arma efficace nella lotta contro il crescente pericolo degli spyware.