Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

In breve

  • Il malware denominato Backdoor.OSX.Mokes.a, individuato di recente, è, in pratica, la versione per OS X di una backdoor multipiattaforma in grado di funzionare su tutti i principali sistemi operativi (Windows, Linux, OS X). La nostra analisi relativa alle versioni Windows e Linux della backdoor in questione è stata pubblicata in precedenza.
  • Questa temibile famiglia di malware è in grado di realizzare il furto di varie tipologie di dati dal computer della vittima (effettua screenshot dello schermo, cattura audio e video, copia documenti di Microsoft Office, registra le sequenze dei tasti premuti dall’utente).
  • La backdoor riesce ugualmente ad eseguire comandi arbitrari sul computer-vittima.
  • Per le comunicazioni, la backdoor si avvale di un solido ed “affidabile” algoritmo di crittografia, AES-256-CBC.

Premessa

Nel mese di gennaio dell’anno in corso abbiamo scoperto una nuova famiglia di backdoor di tipo cross-platform, destinata a colpire gli ambienti desktop. Inizialmente, sono stati individuati dei sample binari di tale malware appositamente creati per attaccare i sistemi operativi Linux e Windows; adesso, abbiamo finalmente scovato la versione di Mokes.A per OS X. Essa risulta scritta in linguaggio C++, con l’utilizzo di Qt, il noto framework multipiattaforma per lo sviluppo di applicazioni; dal punto di vista statico, inoltre, tale versione appare correlata alla libreria software OpenSSL. La dimensione del file è di circa 14 MB.

Ma andiamo ad esaminare in dettaglio questo nuovo sample, da poco individuato.

Backdoor.OSX.Mokes.a, un malware già “spacchettato”

Quando siamo entrati in possesso del sample, il relativo filename si presentava in forma “spacchettata”; riteniamo, tuttavia, che tale malware, in-the-wild, si trovi invece in forma compressa, proprio come avviene per la variante dello stesso destinata all’OS Linux.

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Avvio del file malevolo

Quando viene lanciato per la prima volta, il malware realizza una copia di se stesso all’interno della prima cartella disponibile, tra quelle contenute nell’elenco qui di seguito riportato, secondo l’esatto ordine indicato:

  • $HOME/Library/App Store/storeuserd
  • $HOME/Library/com.apple.spotlight/SpotlightHelper
  • $HOME/Library/Dock/com.apple.dock.cache
  • $HOME/Library/Skype/SkypeHelper
  • $HOME/Library/Dropbox/DropboxCache
  • $HOME/Library/Google/Chrome/nacld
  • $HOME/Library/Firefox/Profiles/profiled

A seconda della propria location, il software nocivo in causa crea un file con estensione PLIST, attraverso il quale esso, in pratica, cerca di “rafforzare” la propria presenza all’interno del sistema, e divenire in tal modo persistente:

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

In seguito, il malware Mokes per OS X stabilisce la prima connessione con il proprio server di comando e controllo, utilizzando il protocollo HTTP, attraverso la porta TCP 80:

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

La stringa User-Agent è di fatto hardcoded nel file binario; il server, in risposta a tale richiesta “heartbeat”, invia del contenuto in formato text/html, avente una lunghezza di 208 byte. Successivamente, la backdoor stabilisce una connessione cifrata attraverso la porta TCP 443, utilizzando l’algoritmo di crittografia AES-256-CBC.

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Funzionalità della backdoor

Il task successivo, per il malware in causa, consiste nel dispiegare le funzionalità malevole di cui è provvista la backdoor:

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

  • Cattura dell’audio
  • Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

  • Monitoraggio delle unità di memoria rimovibili
  • Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

  • Realizzazione di screenshot dello schermo (ogni 30 secondi)
  • Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

  • Scansione del file system, in cerca di documenti Microsoft Office (estensioni .xls, .xlsx, .doc, .docx)
  • Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Il malintenzionato adibito al controllo del server di comando, è ugualmente in grado di definire specifici filtri per le varie tipologie di file, allo scopo di accrescere l’efficacia dell’operazione di monitoraggio del file system, e può allo stesso tempo generare l’esecuzione di comandi arbitrari all’interno del sistema infetto.

Così come avviene per le altre piattaforme, nel caso in cui il server C&C risulti inaccessibile, il malware provvede a creare alcuni file temporanei, contenenti i dati da esso raccolti.

  • $TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst (screenshot)
  • $TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat (cattura dell’audio)
  • $TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt (cattura delle sequenze dei tasti premuti dall’utente)
  • $TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt (dati arbitrari)

DDMMyy = data: 070916 = 2016-09-07
HHmmss = orario: 154411 = 15:44:11
nnn = millisecondi.

Se la variabile di ambiente $TMPDIR non risulta definita, in qualità di location viene utilizzata “/tmp/” (http://doc.qt.io/qt-4.8/qdir.html#tempPath).

“Suggerimenti” da parte dell’autore

Così come in precedenza, anche in questo caso l’autore del malware ha lasciato vari riferimenti riguardo ai corrispondenti file sorgente:

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Rilevamento

I prodotti Kaspersky Lab rilevano questo tipo di programma malware con il “verdetto” HEUR:Backdoor.OSX.Mokes.a.

Indicatori di compromissione (IoC)

Hash:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

Nomi dei file:
$HOME/LibraryApp Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt

Host:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com

User-Agent:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *