Forenser

Sembra un weekend tranquillo di fine maggio, il tempo passa senza problemi fino a quando non iniziano ad arrivare messaggi ambigui sull’applicazione di installata sul tuo . I contatti iniziano a chiederti: “Perché devo darti dei soldi?” oppure “A cosa ti serve il ?”.

Questi contatti stanno solo rispondendo a un messaggio inviato dal tuo account WhatsApp; il problema è che tu non hai inviato nulla.

Questo è ciò che è accaduto negli ultimi giorni a diverse persone che si sono rivolte al nostro studio .

L'aspetto più allarmante di questa minaccia è che la sezione “Dispositivi collegati” risulta completamente pulita, rendendo l'intrusione invisibile. Non si tratta di un classico furto di account, ma di un attacco 0-click: l'infezione avviene senza che la vittima debba compiere alcuna azione.

Cosa abbiamo scoperto durante le analisi forensi?

🚨Vettore d'attacco: La vulnerabilità risiede nel parsing delle immagini ( -2025-43300) nelle versioni di 16 precedenti alla 16.7.12.

👻 Account Fantasma: Abbiamo individuato un'anomala sequenza di eventi di “resync”, segno di una "competizione" tra il telefono legittimo e quello dell'attaccante per il controllo della sessione.

🔓 Accesso ai dati: Gli attaccanti hanno accesso prioritario alle chat con cui la vittima ha interagito di recente.

Come proteggersi subito:

📲 Aggiorna iOS: Installa immediatamente l'ultima versione disponibile per correggere la falla di sistema e le vulnerabilità note.

🛡️ Modalità Isolamento: Attiva la "Lockdown Mode" (Modalità isolamento) nelle impostazioni per ridurre drasticamente la superficie d'attacco e limitare gli automatismi del sistema.

🔐 Lucchetto Chat: Utilizza il blocco biometrico per le chat sensibili; dalle analisi forensi, questa funzione sembra impedire agli attaccanti di leggere o interagire con quelle specifiche conversazioni.

🔄 Reinstalla WhatsApp: In caso di sospetta compromissione, aggiornare o reinstallare l'app può aiutare a espellere l'intruso rinegoziando correttamente la sessione con i server.

Nel primo commento potete trovare l'analisi tecnica completa sul nostro sito.

La digitalforensics su sistemi macOS è un'attività ancora un po' ostica, fortunatamente online sono disponibili diversi tool tra i quali l'ottimo Dissectify, rilasciato dallo specialista Ali Jammal come un nuovo strumento open source pensato per semplificare radicalmente le attività di analisi forense di dispositivi Apple.

L’obiettivo del tool d'informaticaforense è quello di offrire un’unica soluzione integrata, eliminando la necessità di gestire script multipli e workflow frammentati.

Dissectify consente agli analisti forensi di puntare direttamente a una raccolta di dati presenti su Mac e avviare immediatamente l’analisi, eseguendo innanzitutto un controllo di integrità (“health check”) per verificare la solidità della collezione, per poi processare automaticamente i dati attraverso 61 parser di artefatti.

I risultati vengono esportati in un file XLSX ordinato e pronto all’uso, facilitando la revisione e la reportistica.

Tra gli artefatti analizzati figurano:

✅ chat iMessage
✅ permessi TCC
✅ cronologia dei browser
✅ KnowledgeC e Biome
✅ shell history
✅ keychain
✅ FSEvents

Tutti i dati vengono normalizzati e presentati in modo strutturato, riducendo drasticamente i tempi di analisi.

Un’altra funzionalità distintiva è l’integrazione con Velociraptor: Dissectify è in grado di generare automaticamente collector offline, per farlo è sufficiente scaricare il binario, avviare la build e distribuire il collector, senza configurazioni complesse.

Il primo avvio è altrettanto immediato: il tool scarica automaticamente tutte le dipendenze necessarie e, grazie a un sistema di aggiornamento integrato, Dissect e i plugin dei collector restano sempre allineati alle versioni più recenti.

Dissectify funziona interamente tramite una terminal UI, senza necessità di browser, server o setup complicati. Basta clonare il repository, avviare il tool e iniziare a lavorare.

Il progetto è completamente open source ed è disponibile su GitHub al link riportato nel primo commento.

Come gestire correttamente un , prestando la dovuta attenzione a tutte le fasi, inclusa quella di acquisizione della prova digitale?

Ci dà alcune utili indicazioni l'Agenzia per la Cybersicurezza Nazionale nel report "Linee Guida , Definizione dei processi e delle procedure per la gestione degli incidenti di Sicurezza Informatica" appena pubblicato sul sito e liberamente scaricabile.

Il documento, elaborato sulla base del Piano Triennale per l’informatica nella Pubblica Amministrazione 2024-2026, ai sensi dell’art. 14-bis del Codice dell’Amministrazione Digitale (CAD) definisce un modello di riferimento per strutturare in modo chiaro le fasi di preparazione, rilevamento, risposta, ripristino e miglioramento nella gestione degli incidenti, con particolare attenzione all’organizzazione dei ruoli, alla definizione delle politiche interne e all’adozione di procedure operative e playbook, con alcune interessanti appendici utili per la fase operativa.

Tra le parti più rilevanti, almeno dal nostro punto di vista in Forenser Srl, spicca il riferimento alla fase di , dove viene menzionata l’ delle evidenze digitali a supporto delle .

La fase di è spesso la più sottovalutata - dato che la precedenza viene data alla - ma è strategica perché consente di raccogliere, preservare e analizzare le tracce digitali dell’incidente in modo da poterle utilizzare anche in sede tecnica o giudiziaria.

Purtroppo, nella pratica quotidiana questa fase è ancora troppo spesso trascurata. Quando si verifica un attacco o un’infezione, la priorità è quasi sempre quella di ripristinare i sistemi, far ripartire i servizi, tornare “online” il prima possibile, ma saltare o improvvisare l’acquisizione forense significa perdere per sempre informazioni preziose: come è avvenuto l’attacco, chi lo ha condotto, quali vulnerabilità sono state sfruttate e se sono stati esfiltrati dati sensibili.

Senza una corretta attività di acquisizione e analisi forense, non solo diventa difficile attribuire l’incidente o stimarne l’impatto, ma spesso risulta impossibile redigere una completa e attendibile.

Le linee guida ACN rappresentano quindi un passo importante verso un approccio più maturo alla gestione degli incidenti informatici, in cui la fase di acquisizione delle tramite tecniche d' non è un accessorio, ma una componente essenziale del processo.

Link alla pagina con il che riporta le Linee Guida di ACN sulla gestione degli incidenti di sicurezza informatica nel primo commento.

Dopo il caso delle immagini intime condivise e pubblicate illegalmente su alcuni siti e social network esploso la scorsa estate Enrico Pagliarini di Radio 24 ha chiesto al CEO Paolo Dal Checco - esperto di e - quali sono gli strumenti tecnologici disponibili per il controllo dei propri dati, immagini e video, pubblicati sul Web.

Una interessante chiacchierata con alcuni consigli su come identificare proprie immagini o video, come prevenirne la diffusione e con una considerazione anche sulla Legge sulla e sugli obblighi dei professionisti in vigore dal 10 ottobre 2025.

Link alla puntata nel primo commento.