Aggiornamenti recenti Settembre 18th, 2025 4:37 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cohesity Identity Resilience: da Cohesity e Semperis una soluzione per proteggere le infrastrutture di identità aziendali
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
- Un attacco supply chain ha compromesso oltre 40 pacchetti NPM
- TeamItaly, presentata la nuova squadra di giovani cyber defender
- CERT-AGID 6-12 settembre: i ransomware mostrano una nuova tattica di ingegneria sociale
Quimitchin: il malware “immortale” per Mac
Il trojan contiene codice che sfrutta a componenti usati da Apple addirittura nel 1998. Un trucco per aggirare gli antivirus?
La leggenda per cui i computer Apple sarebbero immuni ai malware è stata sfatata da tempo, ma la scoperta di codice nocivo per i Mac riserva sempre qualche sorpresa.
È il caso di Quimitchin, un trojan individuato da Malwarebytes e che potrebbe essere in circolazione da parecchio tempo.
Secondo Thomas Reed, che ha analizzato il malware, al suo interno ci sono infatti parte di codice che sembrano essere state pensate e scritte parecchi anni fa.
Difficile, però, capire se si tratti davvero di un trojan piuttosto “anziano”, aggiornato nel corso degli anni per adattarne le caratteristiche e passato inosservato per anni, o se la presenza di codice obsoleto sia piuttosto uno stratagemma adottato dal suo autore per aggirare i controlli comportamentali degli antivirus, adottando tecniche che i software di sicurezza non considerano più sospette.
L’idea che si tratti di un malware “anziano”, però, sembra aver suggestionato il ricercatore al punto di assegnargli un nome particolare: i Quimitchin erano infatti spie azteche che nell’antichità venivano usate per infiltrare altre tribù per carpirne i segreti.
Thomas Reed ha assegnato al trojan il nome delle antiche spie azteche Quimitchin, che venivano inviate in avanscoperta prima di attaccare una tribù rivale.
Il malware, da un punto di vista tecnico, è composto da due file: uno contenente il codice maligno in sé, l’altro progettato per garantire il suo avvio in automatico a ogni accensione del computer.
Come fa notare Reed, Quimitchin sembra essere stato realizzato per colpire sia i Mac, sia i sistemi Linux. Molte delle funzionalità, infatti, integrano anche comandi pensati per il sistema open source. Anche se il sample analizzato non è in grado di compromettere le macchine Linux, quindi, è possibile che esista una variante del malware in grado di farlo.
Il server Command and Control a cui Quimitchin si collega, in ogni caso, è una vecchia conoscenza degli esperti di sicurezza e viene usato anche per gestire alcuni trojan per Windows.
La vocazione “multipiattaforma” dell’attacco è confermata anche da altri elementi: Quimitchin, infatti, è programmato per scaricare dal server C&C uno script Perl il cui scopo è quello di eseguire una mappatura della rete locale e individuare tutti i dispositivi connessi, le porte in uso e il loro indirizzo IP.
Lo scopo del trojan è, principalmente, di memorizzare screenshot e cercare di accedere alla webcam. Ciò che ha sorpreso il ricercatore, però, è l’uso di soluzioni tecniche piuttosto obsolete, che secondo Reed avrebbero le loro radici addirittura in un’epoca precedente a OS X.
Un altro elemento “fuori posto” sotto il profilo temporale è una parte di codice che fa riferimento a una libreria open source (libjpeg) che è stata aggiornata l’ultima volta nel 1998. Secondo il ricercatore di Malwarebytes, però, l’anomalia potrebbe essere dovuta al fatto che i pirati hanno usato una vecchia documentazione per progettare il malware.
All’interno del codice, infine, ci sono tracce di un aggiornamento eseguito per garantire la compatibilità con OS X Yosemite (rilasciato nel 2014). Il malware originale, quindi, dovrebbe essere precedente a quella data.
Secondo Reed, Quimitchin potrebbe essere effettivamente in circolazione da tempo ed essere stato usato solo in un limitato numero di attacchi mirati.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cohesity Identity Resilience: da Cohesity e Semperis una... A un anno dall’annuncio della partnership, Cohesity e... -
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
-
Un attacco supply chain ha compromesso oltre 40 pacchetti... I ricercatori della compagnia di sicurezza Socket hanno... -
TeamItaly, presentata la nuova squadra di giovani cyber... La nuova squadra italiana per le competizioni di... -
CERT-AGID 6-12 settembre: i ransomware mostrano una nuova... La scorsa settimana il CERT-AGID ha identificato e...
Ransomware: la serie
No posts found.