Alcuni ricercatori di sicurezza hanno individuato un precursore del famoso malware per sistemi operativi Mac Proton. Questo malware sembra essere stato sviluppato nel 2016, un anno prima di Proton e caricato su Virus Total: qui però è rimasto inosservato per quasi due anni, fin quando nel Maggio 2018 alcuni ricercatori lo hanno individuato. I tecnici che lo hanno analizzato hanno usato il termine "raw" per descriverne il codice e le funzionalità: potremmo rendere con "rozzo, poco elaborato". E' infatti risultato evidente dall'analisi che stiamo parlando di un malware ancora in via di sviluppo e che non ha le stesse caratteristiche del trojan di accesso remoto Proton.
Proton è usato in hackeraggi di alto profilo
Proton divenne nome conosciuto nella comunità infosec nel Marzo 2017, quando un analista di Sixgill trovò questo malware in vendita su forum nel dark web, ad un prezzo che oscillava tra i 1.200 e gli 820.000 dollari. Due mesi dopo Proton era già diffuso in the wild, usato per attaccare siti web legittimi e app. Proton è stato in uso fino all'Ottobre 2017, quando un attaccante tutt'ora sconosciuto attaccò e fece breccia nel sito web di Eltima Player e compromise l'app con questo malware.
Il precursore di Proton si chiama Calisto
A livello tecnico, Proton è considerato un RAT (Remote Access Trojan), che garantisce all'attaccante accesso completo su un computer. Questa funzione si trova anche nel suo precursore, chiamato Calisto. Secondo i ricercatori anche Calisto può abilitare il login da remoto su Mac infetti, attivare la condivisione dello schermo, garantirsi la persistenza sul sistema, aggiungere un account di root segreto sulla workstation della vittima, sottrarre file e inviarli al proprio server C&C remoto. I dati che Calisto colleziona e sottrae comprendono dettagli sottratti dalle finestre di login, password, informazioni sulla connessione di rete, la cronologia di Chrome, i segnalibri e i cookie.Non è chiaro come si diffonda, si sa solo che il file di installazione di Calisto è una immagine DMG non firmata, che imita la soluzione di sicurezza per Mac Intego. L'immagine è molto simile a quella dell'app legittima, nel dettaglio, dato curioso, alla versione 9 del software. Sotto il confronto tra il malware con la versione 9 di Mac Internet Security scaricata dal sito web ufficiale.
L'app dannosa presenta perfino un accordo di licenza fake: il testo si differenzia leggermente da quello originale di Intego, probabilmente perché gli attaccanti lo hanno estratto da una versione precedente del software.
Dato l'ok, il malware chiederà all'utente username e password, cosa del tutto normale quando si installa un programma che può eseguire modifice sul sistema Mac.
Peccato che, ricevute le credenziali, il programma visualizza un errore e avvisa l'utente di scaricare un nuovo pacchetto di installazione dal sito ufficiale del vendor. La tecnica truffaldina quindi è semplice, ma efficace. L'installazione a posteriori della versione ufficiale del programma si esegue senza alcun problema e l'errore appena visualizzato passa velocemente in secondo piano: peccato però che Calisto, nel frattempo, compie la sua missione in background restando invisibile.
SIP può bloccare calisto
Nonostante la presenza di alcune caratteristiche invasive e realmente pericolose, Calisto non è così efficace quanto Proton. Il problema principale è che Calisto è stato sviluppato, molto probabilmente, prima che Apple implementasse la funzione di sicurezza SIP (System Integrity Protection): una funzione di protezione che impedisce a utenti e malware di manomettere file critici, anche nel caso in cui dispongano della password di amministratore. E' come se Calisto non tenga minimamente in considerazione questa tecnologia: infatti Calisto viene stoppato da SIP nelle versioni più moderne del sistema operatico Mac.
In sunto la maggior parte degli utenti MAC dovrebbe essere al sicuro a meno che non abbia disabilitato SIP.
Nessun commento:
Posta un commento