Secondo gli esperti di sicurezza il livello di attenzione da parte dei possessori di sistemi macOS sarebbe ancora troppo basso e a lungo andare potrebbe favorire un significativo aumento degli attacchi sui sistemi Apple, come d’altra parte già registrato da Malwarebytes.
In occasione dell’edizione di quest’anno della RSA Conference, Patrick Wardle – ex tecnico della NSA statunitense noto per aver scoperto diverse vulnerabilità di sicurezza nei sistemi operativi Apple (vedere questi articoli) – ha dimostrato quanto sia semplice per i vari gruppi di criminali informatici rubare e poi riadattare codice malware sviluppato per sferrare attacchi sui sistemi macOS. Si tratta di componenti malevoli la cui realizzazione viene spesso sovvenzionata da alcuni governi per spiare soggetti o carpire segreti sulle attività svolte da altre nazioni.
Ci sono sviluppatori esperti incredibilmente ben finanziati e motivati che lavorano costantemente sullo sviluppo di malware per i sistemi macOS, ha spiegato Wardle illustrando nella sua ricerca “Repurposed Malware: A Dark Side of Recycling” quanto sia poi semplice per altri soggetti riadattare tale codice.
Wardle ha portato come esempio quattro malware per macOS che sono stati utilizzati in attacchi in-the-wild negli ultimi anni. Lo sviluppatore è riuscito a modificare il codice originale e alterare i server di comando utilizzati sostituendoli con quelli sotto la sua diretta gestione. Al termine del suo lavoro, Wardle è riuscito ad avere tra le mani codice malevolo di altissimo livello utilizzabile per sferrare attacchi mirati verso qualunque soggetto possessore di un sistema Apple con la possibilità di effettuare in automatico il download di ulteriore codice nocivo, acquisire screenshot, rubare dati sensibili e così via da tutti i sistemi compromessi.
Quest’attività di “riciclo del malware“, soprattutto quello più evoluto perché finanziato dai vari Stati, si rivela particolarmente efficace e remunerativa: i criminali informatici possono infatti, con sforzi limitati, riadattare il codice sviluppato da team ben foraggiati per riadoperarlo praticamente a costo zero.
Secondo Wardle, inoltre, nel caso in cui i tentativi di attacco venissero rilevati e analizzati, vi sono buone probabilità che i ricercatori attribuiscano erroneamente l’attacco agli hacker originali e non al soggetto che ha “riprogrammato il malware”.
Tra i malware che Wardle ha riadattato c’è AppleJeus.c, un componente malevolo per macOS che è stato recentemente scoperto (integrato in una falsa applicazione per lo scambio di crittomonete). Questo malware si è distinto per essere stato tra i primi a utilizzare un metodo fileless per caricare ed eseguire i payload malevoli su macOS appoggiandosi esclusivamente alla memoria volatile così da passare inosservato ai vari controlli (degli attacchi fileless o in-memory avevamo parlato nell’articolo Rimozione malware: come accorgersi della presenza di minacce fileless nel caso di Windows).
Invece di sviluppare un proprio malware di test per macOS, Wardle ha apportato solo una piccola modifica ad AppleJeus.c: invece di ottenere il payload di tipo fileless dal server originariamente configurato, egli ha fatto in modo che le istruzioni venissero scaricate da una macchina remota da lui controllata.
Wardle ha dovuto disassemblare il codice originale quindi individuare la stringa utilizzata per decodificare il payload prelevato dal server remoto. L’esperto ha quindi modificato l’indirizzo del server di controllo e crittografato il suo payload con la chiave impostata nel codice originale.
“Con una singola modifica al binario e la configurazione di un server C&C, sono riuscito a dotarmi di un malware avanzato sviluppato con sovvenzioni statali, il tutto senza dover scrivere alcun codice lato client“, ha osservato Wardle. “Questo è molto più facile che scrivere un malware da zero. Inoltre, se questa variante riadattata venisse mai rilevata, probabilmente verrebbe erroneamente attribuita ai nordcoreani” ovvero al famoso gruppo Lazarus.
Wardle è stato poi in grado di riutilizzare il codice altrui per bypassare le misure di sicurezza antimalware integrate da Apple in macOS.
Poiché lo scanner Xprotect si basa sull’utilizzo di firme, la modifica di un singolo byte del codice “riciclato” è sufficiente per sottrarsi completamente al rilevamento. E quando i certificati di firma emessi da Apple vengono revocati, è banale passare all’utilizzo di un nuovo certificato digitale. Altrettanto semplice, spiega Wardle, risulta rimuovere gli avvisi visualizzati quando gli utenti cercano di eseguire il codice o di installare le applicazioni scaricate da Internet: “è facile rimuovere i flag di che determina la comparsa di tali messaggi d’allerta“.
L’esperto ex NSA ha voluto così rimarcare che macOS e iOS non sono affatto “un’isola felice” e che anzi peccare di superficialità e usare una scarsa dose di attenzione può significare esporsi a rischi di aggressione.