Il nuovo malware OS X appena scoperto suggerisce il ritorno di Hacking Team

Hacking Team potrebbe tornare con il nuovo malware per Mac OS X

Un campione di malware OS X recentemente scoperto suggerisce che potrebbe provenire da Hacking Team, la controversa azienda italiana che vende software di sorveglianza ai governi. Il venditore di exploit sta tornando sul mercato dopo un disastroso attacco informatico, durante il quale i loro dati sono stati divulgati in mani pubbliche, incluso il codice sorgente per tutto il loro software.

Secondo i ricercatori di sicurezza, il nuovo malware OS X trovato in natura è probabilmente una nuova versione del vecchio malware per Mac di Hacking Team. Il campione, secondo loro, è composto principalmente dallo stesso codice del vecchio malware di Hacking Team per Mac OS X, ma ha nuovi componenti che aiutano a rimanere non rilevato.

I ricercatori notano anche che il malware installa una copia della piattaforma di compromesso Remote Code Systems (RCS) dell’azienda, portandoli a credere che la famigerata e controversa azienda italiana sia tornata.

Il malware in questione installa diversi programmi su un computer. Questa volta il malware è un “dropper”, che viene utilizzato per piantare altro software su un computer e sembra installare l’RCS di Hacking Team. “Il dropper utilizza più o meno le stesse tecniche dei vecchi campioni RCS di Hacking Team, e il suo codice è più o meno lo stesso,” ha scritto il ricercatore di sicurezza Pedro Vilaca.

Hacking Team ha subito una violazione massiccia della sua rete lo scorso luglio, dove quasi 400 GB di dati, inclusi informazioni sensibili come i rapporti dell’azienda con i governi, email, codice sorgente ed exploit, sono stati pubblicati online. Il gruppo è rimasto misteriosamente in silenzio da allora. “O questo è un vecchio campione o HackingTeam sta ancora utilizzando la stessa base di codice di prima dell’attacco,” ha scritto Vilaca. Il gruppo è stato anche accusato in passato da gruppi per la privacy e i diritti umani di vendere il proprio software a governi con scarsi diritti umani.

All’inizio di questo mese, un nuovo campione di Trojan basato su OS X denominato “Morcut” è stato caricato su VirusTotal, di proprietà di Google, e al momento, nessun programma antivirus popolare era in grado di rilevarlo. Fino ad ora, 15 programmi antivirus, tra cui AVG, Eset-Nod 32, F-Secure, BitDefender e TrendMicro, sono stati in grado di rilevarlo.

Patrick Wardle della società di sicurezza Synack crede che l’installer sia stato aggiornato l’ultima volta nell’ottobre o novembre dello scorso anno. Ha aggiunto che il campione di malware utilizza la maggior parte dello stesso codice del vecchio malware di Hacking Team.

“Ho appena trovato del codice unico in questo dropper. Questo codice controlla le versioni più recenti di OS X e non esiste nel codice sorgente trapelato,” ha scritto Vilaca. “O qualcuno sta mantenendo e aggiornando il codice di HackingTeam (perché diavolo qualcuno dovrebbe farlo!?!?!) o questo è davvero un campione legittimo compilato da HackingTeam stessi. Il riutilizzo e il ripristino del codice sorgente del malware avviene (Zeus, ad esempio) ma il mio istinto e gli indicatori sembrano non puntare in quella direzione.”

Non è chiaro come questo malware venga installato su un sistema. Tuttavia, Wardle ha scoperto un modo per controllare se il tuo Mac è infetto.

Ecco come puoi controllare se sei colpito:

• Per controllare se sei infetto cerca Bs-V7qIU.cYL o _9g4cBUb.psr che viene inserito nella directory ~/Library/Preferences/8pHbqThW/.
• Se trovi uno di questi codici, elimina l’intera directory e rimuovi il file ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist.