A settembre 2014, gli esperti di sicurezza d Doctor Web
hanno esaminato molte nuove minacce per Mac OS X. Una di queste si è scoperto
essere un backdoor per hacker che è entrato nel database virus come
Mac.BackDoor.iWorm. I criminali possono dare comandi che portano il programma a
eseguire una vasta gamma di istruzioni sul computer infetto. Un’analisi
statistica indica che ci sono più di 17.000 indirizzi IP unici associati a Mac
infetti.
I criminal hanno sviluppato questo malware usando C++ e Lua.
È da notare anche che il back fa largo uso di crittaggio. Durante
l’installazione, si inserisce nella /Library/Application Support/JavaW, dopo di
che, viene generata un file di lista-P così che il backdoor venga lanciato
automaticamente.
Quando Mac.BackDoor.iWorm viene inizialmente lanciato, salva
i suoi dati di configurazione in un file separato e cerca di leggere i
contenuti dell’elenco della /Library per determinare con quali applicazioni
installate l malware non interagirà. Se non vengono trovate liste “non volute”,
il bot usa le domande di sistema per determinare la home directory dell’account
Mac OS X, controlla la disponibilità del file di configurazione nel directory e
scrive i dati necessari per continuare a operare nel file. Il
Mac.BackDoor.iWorm apre un portale su un computer infetto e aspetta una
connessione in entrata. Invia una richiesta a un sito remoto per avere una
lista di server di controllo e poi si connette ai server remoti e aspetta
istruzioni. È bene sapere che per ottenere una lista di server di controllo, il
bot usa il servizio di ricerca in reddit.com e, come richiesta di ricerca,
specifica i valori esadecimali dei primi 8 byte dell’hash MD5 del dato
corrente. La ricerca di reddit.com ritorna su una pagina web contenente una
lista di server botnet C&C e portali pubblicati da criminali nei commenti
al post minecraftserverlists sotto l’account vtnhiaovyd.
Il bot sceglie un server random tra i primi 29 indirizzi
nella lista e invia richieste a ognuno di loro. Richieste di ricerca per
ottenere la lista vengono inviate a reddit.com a intervalli di cinque minuti.
Mentre si stabilisce una connessione al server il cui
indirizzo viene scelto dalla lista usando una speciale serie di passi, il
backdoor cerca di determinare se l’indirizzo del server è nella lista delle
eccezioni e se entra in uno scambio di dati col server per seguire determinati
passi per autenticare l’ospite remoto. Se l’operazione avviene con successo, il
backdoor invia al server informazioni sul portale aperto sul dispositivo
infetto, sul suo indirizzo IP e aspetta istruzioni.
Mac.BackDoor.iWorm è capace di eseguire due tipi di comandi:
direttive diverse che dipendono dai dati binari forniti e script Lua. Comandi
backdoor di base possono essere usati per le seguenti azioni:
- Trovare l’OS
- Trovare la versione del bot
- Trovare l’UID del bot
- Prendere un valore dal file di configurazione
- Impostare un valore di parametro nel file di configurazione
- Rimuovere tutti i parametri dal file di configurazione
- Prendere i tempi di funzionamento del bot
- Inviare una Get quiery
- Scaricare un file
- Aprire un collegamento
- Eseguire un’istruzione di sistema
- Sleep
- Proibire un nodo con l’IP
- Pulire la lista del nodi proibiti
- Ottenere la lista dei nodi
- Ottenere un nodo IP
- Ottenere il tipo di nodo
- Ottenere un portale di nodo
- Eseguire un Lua-script
Le informazioni raccolte dai ricercatori di Doctor Web
dimostrano che dal 26 settembre 2014, 17.658 indirizzi IP di dispositivi
infetti sono stati coinvolti nel botnet creato dagli hacker usando
Mac.BackDoor.iWorm. Buona parte di essi, 4.610 (26% del totale), si trovano
negli Stati Uniti. Il Canada li segue con 1.235 indirizzi (7%) e l Regno Unito
con 1.277 indirizzi IP (6,9&). La distribuzione geografica, a fine
settembre, del botnet creato con Mac.BackDoor.iWorm risulta tale:
La firma di questo malware è stata aggiunta al database de
virus, così Mac.BackDoor.iWorm non mette a rischio i Mac protetti con Dr.Web
Anti-virus per Mac OS X.
Fonte: Dr.Web
http://news.drweb.com/show/?i=5976&lng=en&c=14
Nessun commento:
Posta un commento