Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Gen 19, 2017 Marco Schiaffino Malware, Minacce, News, Trojan 0
La leggenda per cui i computer Apple sarebbero immuni ai malware è stata sfatata da tempo, ma la scoperta di codice nocivo per i Mac riserva sempre qualche sorpresa.
È il caso di Quimitchin, un trojan individuato da Malwarebytes e che potrebbe essere in circolazione da parecchio tempo.
Secondo Thomas Reed, che ha analizzato il malware, al suo interno ci sono infatti parte di codice che sembrano essere state pensate e scritte parecchi anni fa.
Difficile, però, capire se si tratti davvero di un trojan piuttosto “anziano”, aggiornato nel corso degli anni per adattarne le caratteristiche e passato inosservato per anni, o se la presenza di codice obsoleto sia piuttosto uno stratagemma adottato dal suo autore per aggirare i controlli comportamentali degli antivirus, adottando tecniche che i software di sicurezza non considerano più sospette.
L’idea che si tratti di un malware “anziano”, però, sembra aver suggestionato il ricercatore al punto di assegnargli un nome particolare: i Quimitchin erano infatti spie azteche che nell’antichità venivano usate per infiltrare altre tribù per carpirne i segreti.
Il malware, da un punto di vista tecnico, è composto da due file: uno contenente il codice maligno in sé, l’altro progettato per garantire il suo avvio in automatico a ogni accensione del computer.
Come fa notare Reed, Quimitchin sembra essere stato realizzato per colpire sia i Mac, sia i sistemi Linux. Molte delle funzionalità, infatti, integrano anche comandi pensati per il sistema open source. Anche se il sample analizzato non è in grado di compromettere le macchine Linux, quindi, è possibile che esista una variante del malware in grado di farlo.
Il server Command and Control a cui Quimitchin si collega, in ogni caso, è una vecchia conoscenza degli esperti di sicurezza e viene usato anche per gestire alcuni trojan per Windows.
La vocazione “multipiattaforma” dell’attacco è confermata anche da altri elementi: Quimitchin, infatti, è programmato per scaricare dal server C&C uno script Perl il cui scopo è quello di eseguire una mappatura della rete locale e individuare tutti i dispositivi connessi, le porte in uso e il loro indirizzo IP.
Lo scopo del trojan è, principalmente, di memorizzare screenshot e cercare di accedere alla webcam. Ciò che ha sorpreso il ricercatore, però, è l’uso di soluzioni tecniche piuttosto obsolete, che secondo Reed avrebbero le loro radici addirittura in un’epoca precedente a OS X.
Un altro elemento “fuori posto” sotto il profilo temporale è una parte di codice che fa riferimento a una libreria open source (libjpeg) che è stata aggiornata l’ultima volta nel 1998. Secondo il ricercatore di Malwarebytes, però, l’anomalia potrebbe essere dovuta al fatto che i pirati hanno usato una vecchia documentazione per progettare il malware.
All’interno del codice, infine, ci sono tracce di un aggiornamento eseguito per garantire la compatibilità con OS X Yosemite (rilasciato nel 2014). Il malware originale, quindi, dovrebbe essere precedente a quella data.
Secondo Reed, Quimitchin potrebbe essere effettivamente in circolazione da tempo ed essere stato usato solo in un limitato numero di attacchi mirati.
Dic 02, 2024 0
Nov 07, 2024 0
Set 24, 2024 0
Set 16, 2024 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...