mercoledì 15 maggio 2019

Sito web fake di WhatsApp diffonde backdoor per macOS e Windows


La nuova minaccia per sistemi operativi macOS è stata individuata qualche giorno fa dai ricercatori Dr Web: il malware si chiama Siggen.20 e le analisi hanno indicato che si tratta di una backdoor che consente agli attaccanti di scaricare da un server remoto ed eseguire sul dispositivo del codice Python dannoso. 

Siggen infetta i dispositivi delle vittime tramite siti web compromessi gestiti direttamente dai suoi sviluppatori: la maggior parte di questi siti compromessi sono siti personali di persone inesistenti
contenenti portfolio infetti, l'altro invece è ben più insidioso perchè molto molto simile al sito ufficiale dell'app di messaggistica WhatsApp. Ecco l'home page del sito fake




La catena di infezione
Quando un utente ignaro apre uno di questi siti compromessi, il codice dannoso integrato individua, per prima cosa, il tipo di sistema operativo eseguito nel dispositivo dell'utente e, in base a questo, carica tipi differenti di backdoor sul dispositivo della vittima. 

Se l'ignaro visitatore utilizza un sistema Mac è appunto la backdoor Siggen.20 che viene diffusa. Se invece è in uso un sistema operativo Windows viene scaricata un trojan adatto a questo ambiente: Wirenet. Quest'ultimo è un trojan RAT (ovvero un trojan di accesso remoto) ben conosciuto, usato comunemente dai cyber criminali per controllare da remoto i PC delle vittime.  Ha molte funzioni dannose, inclusa la capacità di utilizzare senza la consapevolezza dell'utente sia la fotocamera che il microfono, per eseguire intercettazioni ambientali. Ha perfino una firma valida, che complica la sua individuazione da parte dei software antivirus. 

La firma digitale valida di WireNet. Fonte: news.drweb.com

Informazioni tecniche
Siggen.20 è appunto una backdoor per sistemi operativi Mac diffusa ad oggi in due formati: entro portfolio personali o come falsa app Whatsapp tramite il sito message-whatsapp [.] com. Si compone di ben 5 diversi componenti, quindi è un malware modulare che si installa a stadi differenti: questo è un sistema per ridurre la possibilità di individuazione da parte delle soluzioni di sicurezza. 

I dati, aggiornati a due giorni fa, indicano in oltre 1500 visitatori con un IP unico le vittime del solo sito fake di WhatsApp. Quasi impossibile invece stimare le vittime dei falsi siti web personali: ad ora è ancora in corso la loro mappatura La buona notizia è che non risulta, per adesso, nessun uso su larga scala (ad esempio con apposite campagne di email di spam) di questi siti compromessi: non è ancora chiaro se questo dipenda dalla volontà diretta dei cyber criminali o se ancora si è in un periodo di rodaggio del sistema di infezione e controllo da remoto. 

Nessun commento:

Posta un commento