mercoledì 15 febbraio 2017

Malware per Mac: macro malware e MacDownloader.


Dopo aver perseguitato per oltre due decadi gli utenti Windows, i malware macro hanno cominciato a muovere i primi passi anche nell'altro sistema operativo su cui si può trovare la suite Microsoft Office, ovvero MacOS di Apple. 

Il primo tipo di questi malware è stato individuato la scorsa settimana dai laboratori di Symantec: il file in questione è un file Word dal nome "U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace.docm".Questo documento di Word contiene uno script macro che costringe Office a mostrare all'utente Mac un alert col quale gli utenti Windows hanno grande familiarità.

L'abilitazione della Macro esegue gli script dannosi in esso contenuti e comporta l'infezione immediata, dato che il codice maligno contenuto nella macro è impostato affinché lo script si auto-esegua immediatamente all'apertura. 

Cosa fa la macro?
  • Verifica se l'app di sicurezza chiamata LittleSnitch è in esecuzione
  • Sacrica un altro payload da un server remoto
  • Esegue il decrypt del payload
  • Esegue il payload decriptato

Quando Wardle (il ricercatore che ha sviluppato le analisi su questo malware) ha analizzato la macro ritrovata, il server remoto era down quindi non si è potuto procedere all'analisi del payload. Tuttavia Wardle è riuscito a individuare i comandi del primo stadio del payload: sono frammenti dell'agent per il post-exploitation di OS X e Linux EmPyre, scritto in Python 2.7.
Nulla vieta che da EmPyre questa macro abbia "ereditato" anche altre funzioni, come lo spionaggio via webcam, il furto della cronologia del browsere e dei file scaricati dal web ecc... L'unica caratteristica sicura è che questo macro malware include un modulo per scaricare il keychain (una tecnologia specifica per i sistemi operativi macOS volta alla gestione delle password, degli applicativi, di certificati ecc..)

I malware per il Mac non sono più così rari
Negli anni passati il cyber-crimine ha sempre preferito attaccare i sistemi operativi Windows: si contavano rarissimi e assai sporadici attacchi contro utenti Mac e Linux. Mano a mano che anche questi due sistemi operativi sono diventati popolari e si sono diffusi, il cyber-crimine ha cominciato a rivolgere loro una sempre meno timida attenzione. Infatti mentre si individuava il primo macro malware per Mac è stata scoperto un altro malware per Mac chiamato MacDownloader. 

MacDownloader è stato riscontrato "in the wild": tenta, stranamente, di spacciarsi sia per l'installer di Flash Player sia come un tool di rimozione Adware di Bitdefender. 
La funzione principale di MacDownloader è estrarre le informazioni di sistema e eseguire una copia dei database del keychain di OS. Analisi più approfondite indicano che questo potrebbe essere solo un primo tentativo di diffusione dell'agent: ad esempio la funzione di persistenza e altre caratteristiche attualmente non sembrano funzionare. In sunto MacDownloader attualmente è un semplice agent per il furto di dati, ma con ambizioni più ampie. 

La prima fonte di diffusione individuata è il sito web di una agenzia aerospaziale farlocca, la "United Technologies Corporation", che in realtà è un sito web falso il cui unico scopo è la diffusione del malware.  Nella pagina sembra essere presente un video, che però pare non avviarsi a causa di problemi nei plugin di Flash Player: il sito invita quindi ad eseguire l'update di Flash Player (con una onesta stupefacente tra l'altro: il testo dell'avviso esplicita che "il plugin ha delle falle di sicurezza").




L'avvio del download comporta il download di MacDownloader.



Come si può vedere però dall'immagine sotto, Mac Downloader prova a spacciarsi anche come un tool di Bitdefender. Probabilmente è un'esperimento di ingegneria sociale: è possibile che inizialmente si spacciasse per un tool antivirus e che poi sia stato "convertito" in un plugin di Flash Player.


Che cosa fa?
Mac Downloader non sembra molto curato nè minuziosamente programmato, anzi il suo codice è un vero e proprio copia e incolla dei codici di altri malware. Lo scopo principale di Mac Downloader pare essere quello di raccogliere le informazioni e le credenziali del Keychain password manager. 

Nessun commento:

Posta un commento