OS X, la backdoor riciclata da Windows

FireEye individua una nuova versione di una backdoor già nota da anni, un malware che nella sua incarnazione per sistemi Apple ha riciclato buona parte del codice già usato su Windows, aggiungendo un paio di funzionalità tutte nuove

Roma – XSLCmd è una backdoor già nota da almeno 5 anni, spiega FireEye , ma l’ultima variante individuata “in the wild” ha la non comune caratteristica di rappresentare un vero e proprio porting della versione per Windows su sistemi operativi Mac OS X (OSX.XSLCmd).

Buona parte del codice del malware – configurabile e responsabile, tra le altre cose, dell’apertura di una shell nascosta per il controllo remoto, per il trasferimento automatico dei documenti da client a server e per l’installazione di nuovi file eseguibili – risulta “riciclato” nella nuova variante per Mac, sostiene FireEye.

Di suo, la backdoor XSLCmd al gusto Apple ci mette due funzionalità aggiuntive non presenti nella versione originale per Windows e dedicate alla registrazione di tutti i tasti premuti sulla tastiera (keylogging) e il salvataggio della schermata del PC tramite cattura di un apposito screenshot.

Responsabile del codice di XSLCmd, e quasi sicuramente della gestione remota della backdoor, sia su Windows che su Mac OS X, è un team noto come “GREF”, una gang di ignoti cyber-criminali che stando alle analisi di FireEye prende di mira i contractor della difesa statunitense e le aziende di elettronica mondiali tramite l’installazione di codice JavaScript malevolo nei siti Web di servizi molto popolari e (apparentemente) sicuri per gli utenti finali, come Google Analytics.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • SS20 scrive:
    Notizia che non sorprende.
    Notizia che non sorprende.Da una parte non si vede perchè la NSA, che si occupa di sicurezza nazionale, dovrebbe rivelare i suoi "segreti" o anche solo darne indizi significativi all'FBI, che si occupa di reati comuni.Dall'altra, non sorprende neppure che queste clamorose azioni "contro Tor" abbiano sucXXXXX solo per la dabbenaggine degli utenti finali (che magari ne usano una versione obsoleta e lasciano pure attivato Javascript ....) e degli amministratori dei server hidden, dato che il protocollo Tor in sè ed il suo modello generale di funzionamento non hanno molte pecche (quantomeno non molte per portare ad identificazione inequivocabile, le analisi del traffico portano solo a risultati statstici ben poco usabili in tribunale).Resta comunque il problema che un server hidden è esposto ad attacchi de-anonimizzanti ed andrebbe gestito da chi ha un buon livello di competenza nella security.E dal lato client, andrebbe migliorata la robustezza verso gli IP leak (un esempio, ancora acerbo, potrebbe essere Whonix, che però andrebbe accoppiato alla crittografia delle sue VM).
Chiudi i commenti