S'inscrire

Cybersécurité - 18/01/2024

La nouvelle méthode iShutdown expose les logiciels espions cachés comme Pegasus sur votre iPhone

Les chercheurs en cybersécurité ont identifié une « méthode légère » appelée iShutdown pour identifier de manière fiable les signes de logiciels espions sur les appareils Apple iOS, y compris les menaces notoires comme Pegasus de NSO Group, Reign de QuaDream et Predator d’Intellexa .

Kaspersky, qui a analysé un ensemble d’iPhones compromis avec Pegasus, a déclaré que les infections laissaient des traces dans un fichier nommé “Shutdown.log”, un fichier journal système en mode texte disponible sur tous les appareils iOS et qui enregistre chaque événement de redémarrage ainsi que son environnement. caractéristiques.

“Par rapport aux méthodes d’acquisition plus longues comme l’imagerie médico-légale des appareils ou une sauvegarde iOS complète, la récupération du fichier Shutdown.log est plutôt simple”, a déclaré le chercheur en sécurité Maher Yamout . “Le fichier journal est stocké dans une archive sysdiagnose (sysdiag).”

La société russe de cybersécurité a déclaré avoir identifié des entrées dans le fichier journal qui enregistraient des cas où des processus « persistants », tels que ceux associés au logiciel espion, provoquaient un retard de redémarrage, observant dans certains cas des processus liés à Pegasus dans plus de quatre avis de retard de redémarrage.

De plus, l’enquête a révélé la présence d’un chemin de système de fichiers similaire utilisé par les trois familles de logiciels espions – « /private/var/db/ » pour Pegasus et Reign, et « /private/var/tmp/ » pour Predator – agissant ainsi comme un indicateur de compromis.

iArrêter />

Cela dit, le succès de cette approche repose sur la condition que l’utilisateur cible redémarre son appareil aussi souvent que possible, dont la fréquence varie en fonction de son profil de menace.

Kaspersky a également publié une collection de scripts Python pour extraire, analyser et analyser le Shutdown.log afin d’extraire les statistiques de redémarrage.

“La nature légère de cette méthode la rend facilement disponible et accessible”, a déclaré Yamout. “De plus, ce fichier journal peut stocker des entrées pendant plusieurs années, ce qui en fait un artefact médico-légal précieux pour analyser et identifier les entrées de journal anormales.”

La divulgation intervient alors que SentinelOne a révélé que les voleurs d’informations ciblant macOS tels que KeySteal , Atomic et JaskaGo (alias CherryPie ou Gary Stealer) s’adaptent rapidement pour contourner la technologie antivirus intégrée d’Apple appelée XProtect .

“Malgré les efforts déployés par Apple pour mettre à jour sa base de données de signatures XProtect, ces souches de logiciels malveillants en évolution rapide continuent d’échapper”, a déclaré le chercheur en sécurité Phil Stokes . « Se fier uniquement à la détection basée sur les signatures ne suffit pas, car les auteurs de menaces ont les moyens et la motivation de s’adapter rapidement. »

Sujets récents