E' stata individuata una nuova variante di spyware per i sistemi macOS: questo spyware è conosciuto come FruitFly.
La particolarità di questo spyware è la longevità del suo anonimato:è stato individuato solo nel Gennaio del 2017, ma si scopri che era attivo e in circolazione da almeno due anni, senza però venire mai individuato né dai comuni antivirus commerciali né dagli strumenti di sicurezza integrati nel sistema operativo macOS.
A seguito della scoperta Apple ha emesso un aggiornamento di sistema che blocca il download e l'esecuzione del malware, limitando in conseguenza le infezioni.
Oggi però, la nuova variante di FruitFly (FruitFly.B) pare aver infettato già 400 Mac negli Stati Uniti senza essere individuato dai sistemi di sicurezza, stando alle parole del ricercatore della società Synack che l'ha individuato.
Che cosa fa?
FruitFly, in entrambe le versioni, si comporta sia come uno spyware sia come una backdoor: può ad esempio catturare lo schermo del computer, intercettare e modificare le azioni di mouse e tastiera, può accedere alla webcam e collezionare informazioni sul computer infetto e perfino su tutti gli altri dispositivi connessi sulla stessa rete locale.
La nuova versione cerca di connettersi a vari domini Internet contenuti direttamente nel codice dello spyware. Il ricercatore che ha individuato FruitFly.B ha scoperto che non tutti questi domini erano assegnati: ha potuto così utilizzarne alcuni e organizzare un sistema di server col quale ha intercettato le connessioni provenienti dalle macchine infette. Ha potuto così scoprire che il malware invia ai server C&C le informazioni riguardo alla macchina infetta aspettando in conseguenza un comando da eseguire in locale.
Ulteriori analisi del codice del malware hanno permesso di individuare porzioni di codice contenenti svariati sotto comandi per far eseguire al malware altre azioni dannose.
Ad oggi il tasso di individuazione degli antivirus più comuni è piuttosto alto.
Nessun commento:
Posta un commento