La sempre più incisiva diffusione di Mac OS X sta portando gli autori di malware a guardare con sempre maggior attenzione ai sistemi operativi “alternativi” a Windows. Un esempio lampante è il trojan battezzato Wirenet che cerca di sottrarre dati personali ed informazioni bancarie sui sistemi a cuore Mac OS X, Linux, Windows e Solaris utilizzando tecniche e strategie da tempo ampiamente adottate sulla piattaforma Microsoft.
Riconosciuto ed isolato per la prima volta dai tecnici della software house russa Dr.Web, il trojan Wirenet, una volta che questo è riuscito ad insediarsi sulla macchina Mac OS X, Linux o Windows, si collega con un server remoto (command-and-control server) effettuando una serie di operazioni standard per poi restare in ascolto in attesa di eventuali direttive addizionali. Il server command-and-control (C&C) è il sistema usato dagli autori del malware per trasmettere indicazioni sulle operazioni da effettuare (compresa la sottrazione di informazioni personali o dati sensibili). Le comunicazioni tra Wirenet ed il server C&C sono crittografate mediante l’impiego dell’algoritmo AES anche se, come spiega Marco Giuliani, direttore della società di sicurezza italiana ITSEC, un’attività di decrittaggio ha permesso di risalire alle chiavi usate dal malware.
Dopo aver “chiamato casa”, Wirenet va alla ricerca delle installazioni di Google Chrome, Mozilla Firefox, Mozilla Thunderbird, Mozilla SeaMonkey, Opera e Pidgin provando a recuperare tutti i dati personali memorizzati nei vari browser web, nei client di posta elettronica e nei software per la messaggistica istantanea. Il malware è in grado di decodificare le informazioni registrate sul disco fisso dai vari prodotti software e provvede a girarle ad un server remoto.
La versione per Linux di Wirenet include anche un modulo keylogger che si occupa di annotare tutti i tasti via a via premuti dall’utente in modo tale da trafugare ancor più dati. Giuliani osserva che in ambiente Linux “un keylogger può funzionare nella stessa maniera con cui opera su Windows, addirittura senza la necessità di disporre dei privilegi dell’utente root“. È esattamente ciò che accade in Windows XP dove un semplice keylogger può essere realizzato sfruttando una singola API di programmazione (con l’avvento di Windows Vista e Windows 7, Microsoft ha introdotto alcune tecnologie – UAC, MIC e UIPI – che permettono al sistema operativo di meglio isolare i vari processi in esecuzione).
Spia della presenza di Wirenet, in ambiente Linux, è la presenza della cartella %home%/WIFIADAPT
mentre su Mac OS X la directory nel quale il malware s’insedia è %home%/WIFIADAPT.app
.
“È il primo serio tentativo di portare un malware da Windows a Linux e Mac OS X“, conclude Giuliani. Ciò che non è ancora certo è come avvenga l’infezione. È altamente probabile, tuttavia, che Wirenet – per infettare il sistema – sfrutti tecniche di ingegneria sociale o vulnerabilità presenti nelle versioni più vecchie dei plugin per il browser (Java e Flash Player in primis).