lunedì 15 gennaio 2018

Il primo malware Mac del 2018 si chiama OSX/MaMi e dirotta i DNS


Il nuovo anno è appena cominciato e i ricercatori di sicurezza hanno già individuato il primo nuovo ceppo di malware per Mac. Chiamato OSX / MaMi, per il momento sembra solamente un prototipo, ma se mai completato e attivato, potrebbe rappresentare una minaccia particolarmente grave.

La prima vittima del malware sembra essere uno statunitense, che ha sospettato un'infezione da malware dopo non essere riuscito a cambiare i server DNS del proprio Mac.


Caratteristiche
L'esperto di sicurezza Mac Patrick Wardle ha rintracciato il malware ospitato su un sito Web all'indirizzo regardens.info. Il malware è distribuito sotto forma di un file Mach-O binario 64-bit non firmato e attualmente non viene rilevato dagli antivirus, almeno stando ai risultati resi noti da motori di scansione aggregati comeVirus Total.

Analizzando il codice sorgente del malware, si è riscontrato che il malware potrebbe essere in grado di:
  • Installare un certificato locale
  • Modificare le impostazioni DNS dell'utente
  • Fare screenshot
  • Dirottare i clic del mouse
  • Esegure AppleScript
  • Ottenere la persistenza dell'avvio del sistema operativo
  • Scaricare e caricare file
  • Eseguire comandi
La versione attuale  non supporta la maggior parte di queste funzionalità, ma può solamente ottenere la persistenza all'avvio, installare un certificato locale e modificare le impostazioni personalizzate del server DNS.

Tenendo conto del resto delle caratteristiche, questo potrebbe benissimo essere un trojan per l'accesso remoto in fase di creazione, ma attualmente, può essere classificato solo come un semplice dirottatore DNS.

OSX/MaMi potrebbe evolversi in futuro
Nonostante il malware non sia particolarmente avanzato la preoccupazione è che potrebbe evolversi piuttosto rapidamente in futuro. Installando un nuovo certificato e dirottando i server DNS, i malintenzionati possono compiere una serie di azioni dannose, come l'attacco Man in the Middle (l'attaccante si inserisce tra due poli in comunicazione per intercettare il traffico) per rubare credenziali e mostrare insistentemente pubblicità, pop up ecc..

Wardle però fa sapere che metodi di attacco più invasivi (eseguire comandi, rubare screenshot) sono del tutto fattibili per il malware, ma probabilmente richiedono specifici comandi aggiuntivi da parte degli attaccanti o altre precondizioni che il malware non ha trovato nella Virtual Machine usata dal ricercatore per analizzare il malware e i suoi effetti.

I due server DNS che il malware aggiunge agli host infetti sono:
82.163.143.135
82.163.142.137

Nessun commento:

Posta un commento