I tecnici dei laboratori di Kaspersky e Symantec hanno lanciato l’allerta dopo l’individuazione di un nuovo malware che è stato concepito per aggredire non soltanto i sistemi Windows ma anche Mac OS X ed addirittura macchine virtuali in formato VMware.
Il trojan in questione è stato battezzato “Crisis” e viene veicolato in Rete sotto forma di un falso file d’installazione del pacchetto Java. In realtà, una volta andato in esecuzione, il malware sfrutta codice Java per infettare il sistema in uso.
Le indagini iniziali avevano fatto ritenere che “Crisis” fosse un malware pensato unicamente per gli utenti Mac OS X; ulteriori investigazioni, però, hanno messo in luce come il trojan sia in grado di diffondersi sulle macchine Windows, di replicarsi autonomamente, di creare un file autorun.inf
nella cartella radice di chiavette USB ed unità rimovibili, di infettare macchine virtuali VMware.
Stando all’analisi pubblicata da Symantec, “Crisis” non s’insedierebbe nelle macchine virtuali VMware sfruttando delle vulnerabilità software ma infetterebbe direttamente il file della virtual machine memorizzato su disco; inoltre, non è necessario che il sistema operativo guest sia in esecuzione.
Takashi Katsuki, ricercatore Symantec, ricorda come molti malware si astengano dall’effettuare determinate operazioni quando rilevano una macchina virtuale in esecuzione. Ciò accade perché nella macchina virtuale potrebbe essere installato software aggiuntivo in grado di diagnosticare tempestivamente l’azione di eventuali malware. Il fatto che gli autori di “Crisis” si siano concentrati anche sulle macchine virtuali VMware può essere l’indizio dei primi tentativi di ampliare il campo di battaglia, nell’intento di alterare anche il funzionamento delle virtual machine.
“Crisis” si configura come uno dei pochi malware multipiattaforma: basti pensare che il trojan è in grado di prendere di mira anche i dispositivi a cuore Windows Phone.