Bitdefender: frammenti di una backdoor multipiattaforma indicano un attacco imminente verso macOS

Sebbene complessivamente meno bersagliata dai criminali informatici rispetto ad esempio a Windows, macOS resta comunque una piattaforma di grande interesse per gli sviluppatori di malware. I sistemi Mac sono un obiettivo sempre più strategico per via della loro crescente popolarità e della mancanza di consapevolezza sui problemi legati alla sicurezza che interessa alcuni utenti. Gli utenti di macOS possono infatti essere meno consapevoli dei rischi di sicurezza rispetto agli utenti di altre piattaforme tradizionalmente più interessate dai malware. Questo aspetto può rendere più facile per gli attaccanti sfruttare vulnerabilità o ingannare gli utenti attraverso tecniche di social engineering. Ecco quindi che, come spiega Bitdefender, è in corso di sviluppo una backdoor multipiattaforma con l’obiettivo di aggredire in primis gli utenti di macOS.

Chi acquista un sistema macOS può infatti risultare di particolare interesse per gli utenti malintenzionati perché è altamente probabile che il dispositivo contenga informazioni finanziarie, dati personali e risorse di valore.

Cos’è una backdoor

Una backdoor, in informatica, è una “via d’accesso segreta” che viene in un sistema software o hardware per consentire connessioni non autorizzate o il controllo remoto senza che l’utente ne sia consapevole. È essenzialmente un meccanismo nascosto che permette di aggirare i normali controlli di sicurezza e ottenere un accesso privilegiato al sistema.

Le backdoor possono essere create per scopi legittimi, ad esempio per facilitare la manutenzione o il debug del sistema da parte degli sviluppatori o del team di supporto. Il termine backdoor ha però ormai assunto una connotazione fortemente negativa: non lo si usa più per le attività benigne.

A inserire le backdoor sono generalmente soggetti o enti per scopi illegali o dannosi: per accedere al sistema in modo non autorizzato, raccogliere informazioni sensibili o controllare il dispositivo sottraendosi a qualunque controllo.

Attacco imminente ai sistemi macOS, secondo Bitdefender

Bitdefender ha condiviso oggi i risultati preliminari di una ricerca ancora in corso che ha portato alla scoperta di una backdoor multipiattaforma. Tale backdoor sembra preludere a un attacco molto più esteso che avrebbe come obiettivo principale proprio i dispositivi macOS.

I tecnici di Bitdefender, durante la manutenzione ordinaria dei meccanismi di rilevamento integrati nella nota piattaforma antimalware, si sono imbattuti in un piccolo set di file con funzionalità backdoor che sembrano far parte di un toolkit malware più complesso che oltre a macOS sembra prendere di mira anche Windows e Linux.

Come spiegano gli esperti di Bitdefender nell’analisi tecnica appena pubblicata, l’aspetto davvero curioso è che si tratta di una serie di componenti sviluppati in Python con un unico fil rouge.

Un elemento raccoglie i dati tecnici sul sistema in uso, un altro acquisisce il codice da eseguire a partire da un server command and control comportandosi diversamente a seconda del sistema operativo, un altro ancora avvia i comandi richiesti sul sistema dell’utente utilizzando una forma codificata base64 e restituendo il responso nella stessa modalità. Il file che attiva la backdoor si chiama shared.dat e utilizza la sostituzione ROT13 per nascondere i valori di percorsi e stringhe.

ROT13 è una forma di cifratura a sostituzione semplice che opera su testo in chiaro. Il suo nome deriva dal fatto che ogni lettera dell’alfabeto viene “ruotata” di 13 posizioni, ossia viene sostituita con la lettera che si trova 13 posizioni più avanti o indietro nell’alfabeto. La sostituzione ROT13 è un cifrario a sostituzione simmetrica, il che significa che applicando ROT13 due volte al testo cifrato si ottiene il testo originale.

Una potente backdoor che permette la gestione remota dei sistemi infetti

Collegato a questo primo set di componenti malevoli, vi è un secondo script Python (sh.py) che, una volta in esecuzione, abilita una backdoor decisamente più potente. In questo caso il server command and control da utilizzare può essere specificato come parametro. E sempre come parametri in ingresso, gli aggressori hanno la possibilità di specificare le operazioni da compiere a livello di file system.

Un terzo componente, in questo caso un binario FAT (file multi-architettura) chiamato xcc, risulta progettato per spianare la strada a uno spyware, ad esempio acquisendo i permessi per catturare lo schermo su macOS. Scritto in Swift e sviluppato per macOS 12 e versioni successive, xcc contiene file Mach-O per due architetture: x86 e ARM M1 (Apple Silicon).

I file Mach-O (Mach Object) sono un formato di file eseguibile utilizzato sui sistemi operativi macOS e iOS. Prendono il nome dal kernel Mach, un componente fondamentale di questi sistemi, e sono utilizzati per rappresentare binari e librerie su macOS e iOS, inclusi eseguibili (applicazioni), librerie condivise e file oggetto.

La struttura di xcc fa ritenere i tecnici di Bitdefender che un gruppo di aggressori informatici stia preparando un attacco in grande stile nei confronti di macOS, progettato inoltre per causare danni su un ampio numero di dispositivi, indipendentemente dal sistema operativo installato, grazie alla natura multipiattaforma di molti componenti.

xcc controlla le autorizzazioni gestite dal TCC (Transparency, Consent and Control) di Apple, framework introdotto con macOS Mojave (10.14) per migliorare la sicurezza e la privacy degli utenti. Il suo obiettivo principale è limitare l’accesso delle applicazioni ai dati sensibili e alle funzionalità di sistema, richiedendo l’esplicito consenso dell’utente.