Individuato in diffusione malware per MAC: combina backdoor e miner

All'inizio della settimana in corso alcuni ricercatori di sicurezza hanno individuato un nuovo malware per Mac che combina due differenti tool open-source: la backdoor EmPyre e il miner di criptovaluta XMRig. Questo malware è attualmente diffuso tramite un applicativo di nome Adobe Zii, un software per "piratare" svariate applicazioni di Adobe. In ogni caso i ricercatori sono piuttosto certi nell'affermare che il software Adobe Zii che diffonde il nuovo malware non sia "l'originale", ma una versione ulteriormente modificata dello stesso: ad esempio i loghi differiscono. 

Come infetta i Mac?

L'apertura dell'app fake Adobe Zii esegue uno shell script che scarica ed esegue uno script Phyton il quale, a sua volta, scarica ed esegue un app chiamata sample.app

Sample.app sembra essere semplicemente una versione di Adobe Zii, probabilmente il tentativo di farla apparire "legittima" (per quanto possa ritenersi legittima un'app per piratare software).

Gli script dannosi...

Lo script Phyton è altamente offuscato: l'operazione di deoffuscamento ha portato alla luce il comportamento del malware stesso. 

1. per prima cosa questo malware cerca la presenza di Little Snitch, un firewall capace di portare all'attenzione dell'utente la connessione di rete della backdoor. Qualora Little Snitch fosse presente, il malware non si attiva: anzi, la presenza di Little Snitch rende inutile l'operazione stessa di ricerca, in quanto questo tool avrebbe già bloccato la connessione al primo tentativo di scaricare lo script;

2. questo script apre una connessione verso un backend EmPyre, capace di inviare comandi arbitrari al Mac infetto. Una volta che la backdoor è aperta, riceve un comando che scarica ed esegue lo script /private/tmp/uploadminer.sh. Lo script scarica e installa le altre componenti del malware, oltre a garantire la persistenza alla backdoor. 

3. viene quindi installato il cyrptominer XMRig e il file di configurazione. Il processo di mining viene attivato quasi immediatamente;

Questo malware sembrerebbe, di per sé, abbastanza innocuo: i cryptominer di solito si limitano a surriscaldare e rallentare (talvolta fino al crash di sistema) le macchine infette. In questo caso però non parliamo soltanto di un miner di criptovaluta, dato che c'è di mezzo una backdoor, ovvero una porta aperta sul nostro MAC tramite la quale un attaccante può inviare comandi arbitrari e installare altri malware. In breve, con una backdoor operativa su un dispositivo, è difficile indicare anche quali danni potrebbero verificarsi perchè potenzialmente la gamma dei comandi inviabili è infinita.