Dopo aver perseguitato per oltre due decadi gli utenti Windows, i malware macro hanno cominciato a muovere i primi passi anche nell'altro sistema operativo su cui si può trovare la suite Microsoft Office, ovvero MacOS di Apple.
Il primo tipo di questi malware è stato individuato la scorsa settimana dai laboratori di Symantec: il file in questione è un file Word dal nome "U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace.docm".Questo documento di Word contiene uno script macro che costringe Office a mostrare all'utente Mac un alert col quale gli utenti Windows hanno grande familiarità.
L'abilitazione della Macro esegue gli script dannosi in esso contenuti e comporta l'infezione immediata, dato che il codice maligno contenuto nella macro è impostato affinché lo script si auto-esegua immediatamente all'apertura.
Cosa fa la macro?
- Verifica se l'app di sicurezza chiamata LittleSnitch è in esecuzione
- Sacrica un altro payload da un server remoto
- Esegue il decrypt del payload
- Esegue il payload decriptato
Quando Wardle (il ricercatore che ha sviluppato le analisi su questo malware) ha analizzato la macro ritrovata, il server remoto era down quindi non si è potuto procedere all'analisi del payload. Tuttavia Wardle è riuscito a individuare i comandi del primo stadio del payload: sono frammenti dell'agent per il post-exploitation di OS X e Linux EmPyre, scritto in Python 2.7.
Nulla vieta che da EmPyre questa macro abbia "ereditato" anche altre funzioni, come lo spionaggio via webcam, il furto della cronologia del browsere e dei file scaricati dal web ecc... L'unica caratteristica sicura è che questo macro malware include un modulo per scaricare il keychain (una tecnologia specifica per i sistemi operativi macOS volta alla gestione delle password, degli applicativi, di certificati ecc..)
Nulla vieta che da EmPyre questa macro abbia "ereditato" anche altre funzioni, come lo spionaggio via webcam, il furto della cronologia del browsere e dei file scaricati dal web ecc... L'unica caratteristica sicura è che questo macro malware include un modulo per scaricare il keychain (una tecnologia specifica per i sistemi operativi macOS volta alla gestione delle password, degli applicativi, di certificati ecc..)
I malware per il Mac non sono più così rari
Negli anni passati il cyber-crimine ha sempre preferito attaccare i sistemi operativi Windows: si contavano rarissimi e assai sporadici attacchi contro utenti Mac e Linux. Mano a mano che anche questi due sistemi operativi sono diventati popolari e si sono diffusi, il cyber-crimine ha cominciato a rivolgere loro una sempre meno timida attenzione. Infatti mentre si individuava il primo macro malware per Mac è stata scoperto un altro malware per Mac chiamato MacDownloader.
MacDownloader è stato riscontrato "in the wild": tenta, stranamente, di spacciarsi sia per l'installer di Flash Player sia come un tool di rimozione Adware di Bitdefender.
La funzione principale di MacDownloader è estrarre le informazioni di sistema e eseguire una copia dei database del keychain di OS. Analisi più approfondite indicano che questo potrebbe essere solo un primo tentativo di diffusione dell'agent: ad esempio la funzione di persistenza e altre caratteristiche attualmente non sembrano funzionare. In sunto MacDownloader attualmente è un semplice agent per il furto di dati, ma con ambizioni più ampie.
La prima fonte di diffusione individuata è il sito web di una agenzia aerospaziale farlocca, la "United Technologies Corporation", che in realtà è un sito web falso il cui unico scopo è la diffusione del malware. Nella pagina sembra essere presente un video, che però pare non avviarsi a causa di problemi nei plugin di Flash Player: il sito invita quindi ad eseguire l'update di Flash Player (con una onesta stupefacente tra l'altro: il testo dell'avviso esplicita che "il plugin ha delle falle di sicurezza").
L'avvio del download comporta il download di MacDownloader.
Come si può vedere però dall'immagine sotto, Mac Downloader prova a spacciarsi anche come un tool di Bitdefender. Probabilmente è un'esperimento di ingegneria sociale: è possibile che inizialmente si spacciasse per un tool antivirus e che poi sia stato "convertito" in un plugin di Flash Player.
Che cosa fa?
L'avvio del download comporta il download di MacDownloader.
Come si può vedere però dall'immagine sotto, Mac Downloader prova a spacciarsi anche come un tool di Bitdefender. Probabilmente è un'esperimento di ingegneria sociale: è possibile che inizialmente si spacciasse per un tool antivirus e che poi sia stato "convertito" in un plugin di Flash Player.
Che cosa fa?
Mac Downloader non sembra molto curato nè minuziosamente programmato, anzi il suo codice è un vero e proprio copia e incolla dei codici di altri malware. Lo scopo principale di Mac Downloader pare essere quello di raccogliere le informazioni e le credenziali del Keychain password manager.
Nessun commento:
Posta un commento