Ricerca

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

In breve

  • Il malware denominato Backdoor.OSX.Mokes.a, individuato di recente, è, in pratica, la versione per OS X di una backdoor multipiattaforma in grado di funzionare su tutti i principali sistemi operativi (Windows, Linux, OS X). La nostra analisi relativa alle versioni Windows e Linux della backdoor in questione è stata pubblicata in precedenza.
  • Questa temibile famiglia di malware è in grado di realizzare il furto di varie tipologie di dati dal computer della vittima (effettua screenshot dello schermo, cattura audio e video, copia documenti di Microsoft Office, registra le sequenze dei tasti premuti dall’utente).
  • La backdoor riesce ugualmente ad eseguire comandi arbitrari sul computer-vittima.
  • Per le comunicazioni, la backdoor si avvale di un solido ed “affidabile” algoritmo di crittografia, AES-256-CBC.

Premessa

Nel mese di gennaio dell’anno in corso abbiamo scoperto una nuova famiglia di backdoor di tipo cross-platform, destinata a colpire gli ambienti desktop. Inizialmente, sono stati individuati dei sample binari di tale malware appositamente creati per attaccare i sistemi operativi Linux e Windows; adesso, abbiamo finalmente scovato la versione di Mokes.A per OS X. Essa risulta scritta in linguaggio C++, con l’utilizzo di Qt, il noto framework multipiattaforma per lo sviluppo di applicazioni; dal punto di vista statico, inoltre, tale versione appare correlata alla libreria software OpenSSL. La dimensione del file è di circa 14 MB.

Ma andiamo ad esaminare in dettaglio questo nuovo sample, da poco individuato.

Backdoor.OSX.Mokes.a, un malware già “spacchettato”

Quando siamo entrati in possesso del sample, il relativo filename si presentava in forma “spacchettata”; riteniamo, tuttavia, che tale malware, in-the-wild, si trovi invece in forma compressa, proprio come avviene per la variante dello stesso destinata all’OS Linux.

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Avvio del file malevolo

Quando viene lanciato per la prima volta, il malware realizza una copia di se stesso all’interno della prima cartella disponibile, tra quelle contenute nell’elenco qui di seguito riportato, secondo l’esatto ordine indicato:

  • $HOME/Library/App Store/storeuserd
  • $HOME/Library/com.apple.spotlight/SpotlightHelper
  • $HOME/Library/Dock/com.apple.dock.cache
  • $HOME/Library/Skype/SkypeHelper
  • $HOME/Library/Dropbox/DropboxCache
  • $HOME/Library/Google/Chrome/nacld
  • $HOME/Library/Firefox/Profiles/profiled

A seconda della propria location, il software nocivo in causa crea un file con estensione PLIST, attraverso il quale esso, in pratica, cerca di “rafforzare” la propria presenza all’interno del sistema, e divenire in tal modo persistente:

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

In seguito, il malware Mokes per OS X stabilisce la prima connessione con il proprio server di comando e controllo, utilizzando il protocollo HTTP, attraverso la porta TCP 80:

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

La stringa User-Agent è di fatto hardcoded nel file binario; il server, in risposta a tale richiesta “heartbeat”, invia del contenuto in formato text/html, avente una lunghezza di 208 byte. Successivamente, la backdoor stabilisce una connessione cifrata attraverso la porta TCP 443, utilizzando l’algoritmo di crittografia AES-256-CBC.

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Funzionalità della backdoor

Il task successivo, per il malware in causa, consiste nel dispiegare le funzionalità malevole di cui è provvista la backdoor:

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

  • Cattura dell’audio
  • Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

  • Monitoraggio delle unità di memoria rimovibili
  • Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

  • Realizzazione di screenshot dello schermo (ogni 30 secondi)
  • Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

  • Scansione del file system, in cerca di documenti Microsoft Office (estensioni .xls, .xlsx, .doc, .docx)
  • Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Il malintenzionato adibito al controllo del server di comando, è ugualmente in grado di definire specifici filtri per le varie tipologie di file, allo scopo di accrescere l’efficacia dell’operazione di monitoraggio del file system, e può allo stesso tempo generare l’esecuzione di comandi arbitrari all’interno del sistema infetto.

Così come avviene per le altre piattaforme, nel caso in cui il server C&C risulti inaccessibile, il malware provvede a creare alcuni file temporanei, contenenti i dati da esso raccolti.

  • $TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst (screenshot)
  • $TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat (cattura dell’audio)
  • $TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt (cattura delle sequenze dei tasti premuti dall’utente)
  • $TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt (dati arbitrari)

DDMMyy = data: 070916 = 2016-09-07
HHmmss = orario: 154411 = 15:44:11
nnn = millisecondi.

Se la variabile di ambiente $TMPDIR non risulta definita, in qualità di location viene utilizzata “/tmp/” (http://doc.qt.io/qt-4.8/qdir.html#tempPath).

“Suggerimenti” da parte dell’autore

Così come in precedenza, anche in questo caso l’autore del malware ha lasciato vari riferimenti riguardo ai corrispondenti file sorgente:

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Rilevamento

I prodotti Kaspersky Lab rilevano questo tipo di programma malware con il “verdetto” HEUR:Backdoor.OSX.Mokes.a.

Indicatori di compromissione (IoC)

Hash:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

Nomi dei file:
$HOME/LibraryApp Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt

Host:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com

User-Agent:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A

Ecco il pezzo mancante! Scoperta una sofisticata backdoor per OS X

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox