Aggiornamenti recenti Dicembre 9th, 2025 10:15 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- React2Shell: più di 160.000 indirizzi IP vulnerabili, oltre 30 organizzazioni già colpite
- CERT-AGID 29 novembre – 5 dicembre: phishing a tema Governo italiano e Agenzia delle Entrate
- Iniezione indiretta di prompt: a rischio le informazioni aziendali
- Dark Telegram in ritirata: aumentano le chiusure dei canali clandestini
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
Non solo Windows e Linux: il trojan Mokes colpisce anche i Mac
È uno dei rari casi di “trojan multipiattaforma” in circolazione. Le versioni per Linux e Windows sono state scoperte a gennaio, quella per Mac solo adesso.
Stesso impianto di base e stesso funzionamento, ma tre versioni diverse in modo da potersi adattare a qualsiasi tipo di macchina. Il trojan in questione si chiama Mokes ed è in circolazione almeno dall’inizio dell’anno. L’individuazione delle versioni per Linux e Windows, infatti, risalgono allo scorso gennaio.
Ora, però, Kaspersky Lab ne ha individuato una nuova versione che è in grado di colpire i computer di Apple. Stefan Ortloff, che ha analizzato tutte le versioni individuate, non specifica quale possa essere il vettore di attacco usato per distribuire Mokes.
Il modus operandi con cui agisce il trojan però è sempre lo stesso. Una volta colpita la macchina, Mokes si installa in una cartella scelta per esclusione (a seconda della disponibilità) tra quelle in una lista presente nel codice.
L’elemento curioso è che, oltre a posizioni che fanno riferimento a cartelle di sistema, il trojan sfrutta anche cartelle di programmi di terze parti, come Dropbox e Firefox.
Nonostante brilli per versatilità, non usa però particolari tecniche di offuscamento, anzi: nella versione per Linux fa in modo di avviarsi a ogni accensione creando un .desktop file come se fosse un’applicazione qualsiasi.
Una volta installato sul sistema, Mokes attiva il collegamento server Command and Control, inviando una sorta di impulso ciclico ogni minuto tramite protocollo HTTP. Quando si collega al server per effettuare download o upload di dati utilizza un sistema di crittografia AES-256-CBC.
Strumenti di sorveglianza e comunicazioni crittografate con AES. Roba da professionisti?
Gli strumenti di spionaggio integrati nel trojan sono decisamente invasivi: Mokes è infatti in grado di agire come keylogger, di registrare l’audio dal computer infetto (creando un file ogni 5 minuti) e di catturare video da eventuali webcam collegate.
Il malware cattura inoltre una schermata del desktop ogni 30 secondi, analizza le unità di memoria per individuare i documenti di Office memorizzati al loro interno ed esegue un monitoraggio continuo delle unità rimovibili che vengono collegate alla macchina.
Tutte le informazioni vengono memorizzate in una cartella TEMP e vengono poi trasmesse periodicamente al Server C&C. In definitiva, quindi, Mokes sembra essere un classico software di sorveglianza simile a quelli sviluppati da “professionisti” del settore.
Un’ipotesi che trova conforto anche nel fatto che la versione per Windows individuata da Ortloff avesse un certificato digitale valido a firma “COMODO RSA Code Signing CA”. Risalire all’autore, però, è tutt’altra storia.
Condividi l'articolo
La vicenda dei pacemaker vulnerabili agli hacker finisce in tribunale
Attacco hacker a Libero Mail. “Cambiate le password”
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
React2Shell: più di 160.000 indirizzi IP vulnerabili,... React2Shell, una vulnerabilità di React che consente... -
CERT-AGID 29 novembre – 5 dicembre: phishing a tema... Nel periodo compreso tra il 29 novembre e il 5... -
Dark Telegram in ritirata: aumentano le chiusure dei canali... Dark Telegram, il regno dei canali clandestini, non sembra... -
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3...
Ransomware: la serie
No posts found.