News

Un nuovo malware attacca sia Windows, sia macOS

I ricercatori di Fortinet hanno individuato un documento Word contenente codice VBA dannoso, in grado di generare il download di malware sia su Mac OS X, sia su Windows.

Al pari di molte altre “trappole” analoghe, nel momento in cui viene aperto, questo file cerca di indurre l’utente ad attivare la macro malevola in esso incorporata. Se il potenziale utente-vittima accoglie la richiesta, il codice VBA maligno verrà eseguito, e si verificherà la chiamata automatica di AutoOpen(). Tale funzione legge i dati – codificati nel formato base64 – relativi alla proprietà Comments del documento Word. È risultato che si tratta di uno script Python, che funziona in maniera diversa su Windows e Mac OS X.

Dal momento che Python, su Mac OS X, risulta preinstallato, script del genere vengono eseguiti di default, nell’ambito di tale sistema operativo. Qui, lo schema di infezione procede in maniera diretta e lineare: lo script incorporato scarica da un indirizzo di terze parti un file malevolo – anche in tal caso uno script Python, di cui viene avviata l’esecuzione, e che cerca di connettersi al server allestito dagli attaccanti. Secondo quanto riferiscono i ricercatori, lo script scaricato è, di fatto, una versione modificata di un file Meterpreter aggiunto al framework Metasploit nel novembre 2015.

Meterpreter è un componente estensibile, che utilizza la tecnica denominata “dll injection”, eseguita in-memory, in varie fasi. Questo strumento viene di solito utilizzato nel quadro dei penetration test; ne fanno tuttavia uso anche varie gang cybercriminali, in particolar modo GCMAN ed un gruppo di attacker individuato di recente da Kaspersky Lab, il quale compie attacchi avvalendosi, anch’esso, di malware di tipo fileless.

Lo scenario Windows, volto ad attivare l’exploit, si presenta in veste un po’ più complessa. Dai dati cifrati tramite codifica base64 viene in effetti estratto uno script PowerShell, il quale provvede a decomprimere un’altra porzione del codice, che poi “libera” un ulteriore script PowerShell. Quest’ultimo, una volta eseguito, genera il download dalla Rete di un file DLL a 64 bit, in grado, dopo la relativa esecuzione, di comunicare con il proprio server di comando. Come hanno dimostrato le analisi effettuate, tale schema prende di mira soltanto le versioni di Windows a 64 bit.

Intuire i metodi di diffusione di tale malware non si rivela di certo un compito difficile; gli scopi che si prefiggono i proprietari dello stesso, invece, non appaiono ancora ben chiari. Commentando con Threatpost la specifica situazione, Pei Xue Li, Senior Manager della divisione Service Development and Security Research di FortiGuard, ha dichiarato che nel corso dei test condotti sul sample, sono stati osservati dei tentativi di aprire una sessione TCP sia in Windows, sia su Mac OS X; il server dei malintenzionati, tuttavia, non ha mai risposto. Wireshark ha rilevato, ogni volta, un errore a livello di connessione TCP.

I macro-malware per macOS non rappresentano un elemento di novità; essi, tuttavia, hanno iniziato a comparire solo di recente. Nello scorso mese di febbraio, i ricercatori di Synack hanno reso di pubblico dominio una scoperta analoga; nel loro caso, tuttavia, la macro malevola veniva eseguita esclusivamente sui computer Mac. Al momento della sua attivazione, essa provvedeva a decifrare i dati, per poi eseguire gli stessi mediante l’utilizzo di uno script Python, preso in prestito da un altro progetto – EmPyre. Nell’intervista rilasciata ai giornalisti di Threatpost, Li non ha mancato di sottolineare tale differenza: “Il programma malware da noi analizzato attacca sia Mac OS, sia Windows… l’agente Python, utilizzato dal malware dopo l’exploit, risulta diverso. Nell’altro caso si tratta di EmPyre, qui di Meterpreter. Non si può escludere il fatto che i malware di tipo cross-platform basati su codice macro possano divenire una precisa tendenza”.

Fonte: Threatpost

Un nuovo malware attacca sia Windows, sia macOS

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox