Nuevo método iShutdown expone Spyware ocultos como Pegasus

Iniciado por AXCESS, Enero 17, 2024, 01:42:34 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 17, 2024, 01:42:34 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad han identificado un "método liviano" llamado iShutdown para identificar de manera confiable signos de software espía (Spyware) en dispositivos Apple iOS, incluidas amenazas notorias como Pegasus de NSO Group, Reign de QuaDream y Predator de Intellexa.

Kaspersky, que analizó un conjunto de iPhones que fueron comprometidos con Pegasus, dijo que las infecciones dejaron rastros en un archivo llamado "Shutdown.log", un archivo de registro del sistema basado en texto disponible en todos los dispositivos iOS y que registra cada evento de reinicio junto con las características de su entorno.

"En comparación con métodos de adquisición que requieren más tiempo, como imágenes forenses de dispositivos o una copia de seguridad completa de iOS, recuperar el archivo Shutdown.log es bastante sencillo", dijo el investigador de seguridad Maher Yamout. "El archivo de registro se almacena en un archivo sysdiagnose (sysdiag)".

La firma rusa de ciberseguridad dijo que identificó entradas en el archivo de registro que registraron casos en los que procesos "pegajosos", como los asociados con el software espía, causaron un retraso en el reinicio, observando en algunos casos procesos relacionados con Pegasus en más de cuatro avisos de retraso en el reinicio.

Es más, la investigación reveló la presencia de una ruta de sistema de archivos similar que utilizan las tres familias de software espía: "/private/var/db/" para Pegasus y Reign, y "/private/var/tmp/" para Predator. actuando así como indicador de compromiso.

Dicho esto, el éxito de este enfoque depende de la advertencia de que el usuario objetivo reinicie su dispositivo con la mayor frecuencia posible, cuya frecuencia varía según su perfil de amenaza.

Kaspersky también ha publicado una colección de scripts de Python para extraer y analizar al Shutdown.log.

"La naturaleza liviana de este método lo hace fácilmente disponible y accesible", dijo Yamout. "Además, este archivo de registro puede almacenar entradas durante varios años, lo que lo convierte en un valioso artefacto forense para analizar e identificar entradas de registro anómalas".

La divulgación se produce cuando SentinelOne reveló que los ladrones de información dirigidos a macOS como KeySteal, Atomic y JaskaGo (también conocidos como CherryPie o Gary Stealer) se están adaptando rápidamente para eludir la tecnología antivirus incorporada de Apple llamada XProtect.

"A pesar de los sólidos esfuerzos de Apple para actualizar su base de datos de firmas XProtect, estas cepas de malware que evolucionan rápidamente continúan evadiendo", dijo el investigador de seguridad Phil Stokes. "Dependerse únicamente de la detección basada en firmas es insuficiente ya que los actores de amenazas tienen los medios y los motivos para adaptarse rápidamente".

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario