Malware di Windows adattato per sistemi Mac OS X avvistato in natura

I ricercatori stanno analizzando un nuovo codice di un programma backdoor di cinque anni fa utilizzato su Windows, che hanno scoperto essere stato integrato in un programma spyware progettato per compromettere i sistemi Mac OS X. Chiamato XSLCmd dai ricercatori, questo malware per OS X è stato verificato il 10 agosto da VirusTotal. Altri antivirus non sono ancora riusciti a rilevarlo, confermando che gli autori stanno utilizzando un codice molto più complesso.

La principale azienda di ricerca sulla sicurezza, FireEye, ha dichiarato nel suo post sul blog riguardo a questo malware, che il codice malware è compatibile con le architetture CPU PowerPC e 64/86-bit; oltre alla routine di installazione, è presente anche una backdoor che si esegue non appena il processo principale è in esecuzione.

“Il codice della backdoor è stato portato su OS X da una backdoor di Windows che è stata utilizzata ampiamente in attacchi mirati negli ultimi anni, essendo stata aggiornata molte volte nel processo”

Le capacità presenti nella backdoor includono l’apertura di una shell inversa insieme ad azioni per visualizzare file e trasferirli in una posizione remota, o eseguire routine di auto-aggiornamento e installare altri file eseguibili. FireEye afferma che, rispetto alla versione per Windows, quella per OS X presenta funzionalità aumentate che consentono il monitoraggio della vittima tramite la registrazione dei tasti e dello schermo del computer. Questo, unito al fatto che finora è rimasto non rilevato, indica un autore di malware molto esperto.

I ricercatori credono che la backdoor XSLCmd sia impiegata in attività di cyber-spionaggio. I ricercatori hanno identificato i criminali informatici come GREF. Questo team si specializza in cyber spionaggio ed è attivo dal 2009. È stato uno dei gruppi che ha hackerato la Difesa Industriale degli Stati Uniti, così come aziende di elettronica e ingegneria in tutto il mondo tra il 2011 e ad oggi. Anche se non si sa se questo gruppo sia composto da attori statali di qualche paese.

Con la crescente popolarità dei computer e dei laptop Apple, questo diventa un nuovo grattacapo per la casa madre. Fino ad ora, i malware per macchine Mac erano pochi e rari. Il porting di malware di Windows su altri sistemi operativi non è né una pratica complessa né nuova. Assumendo la forma di un file eseguibile Mach-O, la backdoor si copia in “$HOME/Library/LaunchAgents/clipboardd” e crea un file nella cartella che assicura che la minaccia venga lanciata al riavvio del computer, non appena la vittima accede.

Durante il processo di installazione, il malware controlla la versione del sistema operativo e sembra che le versioni superiori a 10.8 (Mountain Lion) non siano prese in considerazione. Questo potrebbe indicare che gli autori hanno mirato a vittime che eseguono questa edizione di OS X o che il pezzo è stato creato specificamente per Mountain Lion.

FireEye crede che i criminali informatici /cyber gang, dietro questa minaccia non siano solo “avanzati” ma anche “adattivi”, considerando il fatto che sono riusciti a ottenere la compatibilità del loro toolkit con i nuovi sistemi operativi adottati dalle loro vittime e a ottenere persistenza sulle macchine infette.

Puoi leggere l’articolo completo su XSLCMD qui