I sistemi Mac attaccati da una nuova backdoor, controllata attraverso la rete Tor

I ricercatori di Bitdefender, nota società operante nel campo della sicurezza informatica, hanno individuato una backdoor destinata ai sistemi operativi Mac OS X, la quale consente di ottenere il pieno controllo sul sistema sottoposto ad attacco, tramite accesso anonimo attraverso la rete Tor. Il malware non risulta firmato da alcun certificato digitale Apple, e può quindi passare inosservato solo nel caso in cui l’utente abbia disattivato la protezione Gatekeeper.

Il malware Mac, rilevato come Backdoor.MAC.Eleanor, viene distribuito sotto forma di un’innocua applicazione utilizzata per la conversione dei file, EasyDoc Converter.app, disponibile in numerosi negozi online specializzati. Secondo Bitdefender, il falso convertitore di file non è provvisto di alcuna delle funzionalità indicate; l’applicazione malevola esegue, invece, uno script nocivo, il quale provvede ad installare e registrare, sotto l’ingannevole nome di Dropbox, i tre componenti di Eleanor: un servizio nascosto Tor, un servizio web dotato di un’applicazione PHP ed un agente Pastebin.

Il server locale agisce in funzione di C&C, consentendo agli attacker di poter compiere varie azioni malevole sul computer-vittima: visualizzare, modificare, eliminare, effettuare l’upload o il download di file, comprimere gli stessi in appositi archivi; eseguire comandi, shellcode e script compilati in PHP, PERL, Python, Ruby, Java e C; apportare modifiche ai database (MySQL, SQLite ed altri ancora); controllare le impostazioni del firewall e ricercare gli entry point relativi alla rete presa di mira; visualizzare gli elenchi dei processi e delle applicazioni in esecuzione attraverso il task manager; inviare messaggi e-mail con allegati. Eleanor utilizza ugualmente wacaw, un tool open source che può permettere ai malintenzionati di catturare foto e video attraverso la webcam di cui fa uso la vittima.

“Questo tipo di malware si rivela particolarmente pericoloso in quanto risulta di difficile individuazione; al contempo, Eleanor consente all’attacker di poter assumere il pieno controllo sul sistema compromesso, – sottolinea Tiberius Axinte, manager del team di analisti di Bitdefender, all’opera contro le minacce IT. – Possono ad esempio privarvi dell’accesso al vostro laptop, sottoporvi a ricatti, minacciarvi riguardo ad un’eventuale divulgazione di file con contenuti di natura privata, oppure asservire il vostro computer portatile ad una botnet, per la conduzione di attacchi informatici nei confronti di altri dispositivi. Le possibilità esistenti, in questo caso, sono in pratica illimitate”.

Il componente Tor permette al malware Eleanor di potersi collegare alla rete Tor e di stabilire, quindi, la connessione con un apposito pannello di controllo protetto da password; viene in tal modo garantito, agli attacker, l’accesso al C&C locale tramite un URL univoco, generato in loco, ma custodito su Pastebin. Prima di essere salvati, gli indirizzi .onion così generati vengono sottoposti a codifica con chiave pubblica RSA, nel formato base64. Il post più datato, individuato dai ricercatori di Bitdefender su Pastebin, risale al 19 aprile scorso; gli esperti, tuttavia, non hanno potuto determinare il numero totale di macchine infette: i vari sample di Eleanor utilizzano, di fatto, account Pastebin diversi per l’upload degli URL, ed i ricercatori hanno avuto a loro disposizione solo alcuni dei sample esistenti.

“L’applicazione [malevola] non risulta firmata tramite certificato digitale di uno sviluppatore Apple, – commenta Thomas Reed di Malwarebytes. – In un certo senso questo è un bene, visto che in tal modo è indubbiamente più difficile poter aprire la stessa (Mac OS X, per impostazione predefinita, non apre le applicazioni prive di firma digitale approvata da Apple). Vi è, tuttavia, anche un aspetto negativo: in effetti, nel caso in cui un utente particolarmente determinato intenda lanciare davvero l’applicazione, egli sarà comunque in grado di procedere all’apertura di quest’ultima, e vista l’assenza della firma, Apple non potrà neutralizzare tale applicazione tramite revoca del certificato digitale”.

Networkworld.com

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *