mercoledì 8 ottobre 2014

Scoperto nuovo botnet Mac OS X


A settembre 2014, gli esperti di sicurezza d Doctor Web hanno esaminato molte nuove minacce per Mac OS X. Una di queste si è scoperto essere un backdoor per hacker che è entrato nel database virus come Mac.BackDoor.iWorm. I criminali possono dare comandi che portano il programma a eseguire una vasta gamma di istruzioni sul computer infetto. Un’analisi statistica indica che ci sono più di 17.000 indirizzi IP unici associati a Mac infetti.

I criminal hanno sviluppato questo malware usando C++ e Lua. È da notare anche che il back fa largo uso di crittaggio. Durante l’installazione, si inserisce nella /Library/Application Support/JavaW, dopo di che, viene generata un file di lista-P così che il backdoor venga lanciato automaticamente.

Quando Mac.BackDoor.iWorm viene inizialmente lanciato, salva i suoi dati di configurazione in un file separato e cerca di leggere i contenuti dell’elenco della /Library per determinare con quali applicazioni installate l malware non interagirà. Se non vengono trovate liste “non volute”, il bot usa le domande di sistema per determinare la home directory dell’account Mac OS X, controlla la disponibilità del file di configurazione nel directory e scrive i dati necessari per continuare a operare nel file. Il Mac.BackDoor.iWorm apre un portale su un computer infetto e aspetta una connessione in entrata. Invia una richiesta a un sito remoto per avere una lista di server di controllo e poi si connette ai server remoti e aspetta istruzioni. È bene sapere che per ottenere una lista di server di controllo, il bot usa il servizio di ricerca in reddit.com e, come richiesta di ricerca, specifica i valori esadecimali dei primi 8 byte dell’hash MD5 del dato corrente. La ricerca di reddit.com ritorna su una pagina web contenente una lista di server botnet C&C e portali pubblicati da criminali nei commenti al post minecraftserverlists sotto l’account vtnhiaovyd.




Il bot sceglie un server random tra i primi 29 indirizzi nella lista e invia richieste a ognuno di loro. Richieste di ricerca per ottenere la lista vengono inviate a reddit.com a intervalli di cinque minuti.

Mentre si stabilisce una connessione al server il cui indirizzo viene scelto dalla lista usando una speciale serie di passi, il backdoor cerca di determinare se l’indirizzo del server è nella lista delle eccezioni e se entra in uno scambio di dati col server per seguire determinati passi per autenticare l’ospite remoto. Se l’operazione avviene con successo, il backdoor invia al server informazioni sul portale aperto sul dispositivo infetto, sul suo indirizzo IP e aspetta istruzioni.

Mac.BackDoor.iWorm è capace di eseguire due tipi di comandi: direttive diverse che dipendono dai dati binari forniti e script Lua. Comandi backdoor di base possono essere usati per le seguenti azioni:
  • Trovare l’OS
  • Trovare la versione del bot
  • Trovare l’UID del bot
  • Prendere un valore dal file di configurazione
  • Impostare un valore di parametro nel file di configurazione
  • Rimuovere tutti i parametri dal file di configurazione
  • Prendere i tempi di funzionamento del bot
  • Inviare una Get quiery
  • Scaricare un file
  • Aprire un collegamento
  • Eseguire un’istruzione di sistema
  • Sleep
  • Proibire un nodo con l’IP
  • Pulire la lista del nodi proibiti
  • Ottenere la lista dei nodi
  • Ottenere un nodo IP
  • Ottenere il tipo di nodo
  • Ottenere un portale di nodo
  • Eseguire un Lua-script

Le informazioni raccolte dai ricercatori di Doctor Web dimostrano che dal 26 settembre 2014, 17.658 indirizzi IP di dispositivi infetti sono stati coinvolti nel botnet creato dagli hacker usando Mac.BackDoor.iWorm. Buona parte di essi, 4.610 (26% del totale), si trovano negli Stati Uniti. Il Canada li segue con 1.235 indirizzi (7%) e l Regno Unito con 1.277 indirizzi IP (6,9&). La distribuzione geografica, a fine settembre, del botnet creato con Mac.BackDoor.iWorm risulta tale:
                                     

La firma di questo malware è stata aggiunta al database de virus, così Mac.BackDoor.iWorm non mette a rischio i Mac protetti con Dr.Web Anti-virus per Mac OS X.

Scopri di più su (fonte in inglese) http://news.drweb.com/show/?i=5977&lng=en

Fonte: Dr.Web
http://news.drweb.com/show/?i=5976&lng=en&c=14

Nessun commento:

Posta un commento