Un nuovo malware attacca sia Windows, sia macOS

I ricercatori di Fortinet hanno individuato un documento Word contenente codice VBA dannoso, in grado di generare il download di malware sia su Mac OS X, sia su Windows.

Al pari di molte altre “trappole” analoghe, nel momento in cui viene aperto, questo file cerca di indurre l’utente ad attivare la macro malevola in esso incorporata. Se il potenziale utente-vittima accoglie la richiesta, il codice VBA maligno verrà eseguito, e si verificherà la chiamata automatica di AutoOpen(). Tale funzione legge i dati – codificati nel formato base64 – relativi alla proprietà Comments del documento Word. È risultato che si tratta di uno script Python, che funziona in maniera diversa su Windows e Mac OS X.

Dal momento che Python, su Mac OS X, risulta preinstallato, script del genere vengono eseguiti di default, nell’ambito di tale sistema operativo. Qui, lo schema di infezione procede in maniera diretta e lineare: lo script incorporato scarica da un indirizzo di terze parti un file malevolo – anche in tal caso uno script Python, di cui viene avviata l’esecuzione, e che cerca di connettersi al server allestito dagli attaccanti. Secondo quanto riferiscono i ricercatori, lo script scaricato è, di fatto, una versione modificata di un file Meterpreter aggiunto al framework Metasploit nel novembre 2015.

Meterpreter è un componente estensibile, che utilizza la tecnica denominata “dll injection”, eseguita in-memory, in varie fasi. Questo strumento viene di solito utilizzato nel quadro dei penetration test; ne fanno tuttavia uso anche varie gang cybercriminali, in particolar modo GCMAN ed un gruppo di attacker individuato di recente da Kaspersky Lab, il quale compie attacchi avvalendosi, anch’esso, di malware di tipo fileless.

Lo scenario Windows, volto ad attivare l’exploit, si presenta in veste un po’ più complessa. Dai dati cifrati tramite codifica base64 viene in effetti estratto uno script PowerShell, il quale provvede a decomprimere un’altra porzione del codice, che poi “libera” un ulteriore script PowerShell. Quest’ultimo, una volta eseguito, genera il download dalla Rete di un file DLL a 64 bit, in grado, dopo la relativa esecuzione, di comunicare con il proprio server di comando. Come hanno dimostrato le analisi effettuate, tale schema prende di mira soltanto le versioni di Windows a 64 bit.

Intuire i metodi di diffusione di tale malware non si rivela di certo un compito difficile; gli scopi che si prefiggono i proprietari dello stesso, invece, non appaiono ancora ben chiari. Commentando con Threatpost la specifica situazione, Pei Xue Li, Senior Manager della divisione Service Development and Security Research di FortiGuard, ha dichiarato che nel corso dei test condotti sul sample, sono stati osservati dei tentativi di aprire una sessione TCP sia in Windows, sia su Mac OS X; il server dei malintenzionati, tuttavia, non ha mai risposto. Wireshark ha rilevato, ogni volta, un errore a livello di connessione TCP.

I macro-malware per macOS non rappresentano un elemento di novità; essi, tuttavia, hanno iniziato a comparire solo di recente. Nello scorso mese di febbraio, i ricercatori di Synack hanno reso di pubblico dominio una scoperta analoga; nel loro caso, tuttavia, la macro malevola veniva eseguita esclusivamente sui computer Mac. Al momento della sua attivazione, essa provvedeva a decifrare i dati, per poi eseguire gli stessi mediante l’utilizzo di uno script Python, preso in prestito da un altro progetto – EmPyre. Nell’intervista rilasciata ai giornalisti di Threatpost, Li non ha mancato di sottolineare tale differenza: “Il programma malware da noi analizzato attacca sia Mac OS, sia Windows… l’agente Python, utilizzato dal malware dopo l’exploit, risulta diverso. Nell’altro caso si tratta di EmPyre, qui di Meterpreter. Non si può escludere il fatto che i malware di tipo cross-platform basati su codice macro possano divenire una precisa tendenza”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *