C’è un nuovo malware appositamente studiato per i sistemi Mac OS X che riporta la mente all’affaire Hacking Team, società italiana che commercializza – rivolgendosi principalmente a governi, enti governativi e forze di polizia – strumenti software per l’introduzione offensiva, il controllo remoto, il monitoraggio e la sorveglianza dei sistemi (vedere Proteggersi dalle vulnerabilità usate da Hacking Team e Trojan di Stato, se ne torna (purtroppo) a parlare).
Apostrofando senza mezzi termini Hacking Team, il ricercatore Pedro Vilaça (SentinelOne) ha pubblicato l’analisi tecnica di un nuovo malware per Mac OS X che consentirebbe di spiare da remoto i sistemi Apple ed assumerne eventualmente il controllo.
Fino a qualche giorno fa, quando il malware fu caricato per la prima volta su VirusTotal, la sua identità era sconosciuta a tutti i motori di scansione antivirus mentre, al momento, sono 15 i motori che indicano come malevolo sia il dropper in formato binario che il file Zip contenente il dropper.
Il dropper, lo ricordiamo, è un componente software malevolo che viene utilizzato per installare malware o aprire una backdoor sul sistema infettato. In questo caso, il dropper provvede a scaricare ed installare una copia aggiornata del Remote Control Systems (RCS), il tool sviluppato da Hacking Team.
Gli autori del malware hanno usato diversi espedienti per mascherare il rilevamento del codice nocivo ricorrendo anche al sistema di crittografia Apple. Utilizzando la chiave crittografica di Apple già nota nell’ambiente a chi effettua il reverse engineering del codice, i ricercatori sono riusciti ad analizzare nel dettaglio il comportamento del dropper.
Non è dato sapere se il componente capace di controllare da remoto i sistemi Mac OS X sia stato sviluppato proprio da Hacking Team. Vilaça scrive che nel codice del malware sono presenti una serie di controlli – ad esempio quelli relativi alle più recenti versioni di Mac OS X – che ovviamente mancavano all’appello nel codice sottratto a suo tempo dai server dell’azienda italiana. Quindi, o qualcuno sta attivamente aggiornando il codice razziato tempo fa oppure Hacking Team ha sviluppato il nuovo tool in proprio, conclude il ricercatore.
Per verificare la presenza dell’infezione, si deve accedere alla directory ~/Library/Preferences/8pHbqThW/
e controllare la presenza del file Bs-V7qIU.cYL
, spia dell’avvenuta infezione.
Per adesso non è noto il vettore d’attacco: molto probabilmente il dropper viene distribuito insieme con qualche software per Mac OS X prelevato attraverso la Rete.