Malware per Mac rimasto nell'ombra per anni, poteva spiare gli utenti

Malware per Mac rimasto nell'ombra per anni, poteva spiare gli utenti

Un malware vecchio, semplice ma avvolto da un alone di mistero: è rimasto nell'ombra fino ai giorni nostri e i suoi creatori sembrano averlo abbandonato. Non è nota l'origine e nemmeno gli scopi

di pubblicata il , alle 14:01 nel canale Sicurezza
macOS
 

Un malware insidioso e misterioso, capace di mettere nelle mani degli attaccanti il controllo su webcam, tastiere e altre risorse sensibili, ha infettato un numero imprecisato di sistemi Mac per almeno cinque anni restando nell'ombra fino ai giorni nostri quando un ricercatore di sicurezza, Patrick Wardle, si è imbattuto nella minaccia e ha cercato di far luce per capire di cosa si trattasse.

Il malware sarebbe una variante di una minaccia individuata a gennaio e battezzata Fruitfly. Entrambe le varianti svolgono le medesime funzioni: catturano screenshot, pressioni di tasti, immagini dalla webcam e informazioni relative alle macchine infettate e a quelle connesse sulla stessa rete. La società di sicurezza Malwarebytes aveva scoperto Fruitfly infettare quattro sistemi Mac e Apple aveva aggiornato MacOS perché rilevasse automaticamente il malware. La variante individuata da Warlde ha compromesso almeno 400 macchine, che in realtà potrebbero essere molte di più. L'aspetto insolito della vicenda è che questo malware non è mai stato rilevato né da MacOS né da suite di sicurezza commerciali, e allo stato attuale delle cose sembra che sia stato abbandonato anche dai suoi creatori.

Wardle ha comunque scovato vari domini hardcoded all'interno del malware, al momento della scoperta ancora accessibili. Wardle ha allora registrato uno degli indirizzi individuati, allo scopo di verificare se e quanti Mac fossero infetti e quindi in grado di comunicare con un server civetta allestito dietro il dominio. Dato l'abbandono del malware il server principale di command-and-control è stato disattivato, ma molti dei Mac infetti non sono mai stati ripuliti e di conseguenza si sono connessi al server civetta non appena questo è divenuto disponibile. Il ricercatore è così riuscito a riscontrare circa 400 macchine connesse al server, principalmente sistemi installati in abitazioni situate negli Stati Uniti.

Permane comunque un alone di mistero attorno a questa variante di Fruitfly: non è chiara l'origine, non sono noti i vettori di infezione (anche se si pensa a qualcosa di poco sofisticato, come tecniche di social engineering per indurre le potenziali vittime a cliccare su link malevoli e non a meccanismi di sfruttamento di falle e vulnerabilità) e non sono noti nemmeno gli scopi. Wardle afferma di non aver trovato alcuna indicazione che il malware possa essere usato a sua volta come strumento per l'installazione di ransomware o di strumenti per raccogliere informazioni bancarie, il che esclude lo scopo di profitto. La concentrazione di sistemi domestici eslcude inoltre la possibilità che il malware sia stato realizzato da qualche hacker filogovernativo a scopo di spionaggio.

Il ricercatore ha condiviso con le autorità tutte le sue scoperte e ha dichiarato che tutti i domini conosciuti associati al malware non sono più disponibili, una misura che va di fatto a neutralizzare la minaccia posta da Fruitfly. Wardle terrà un incontro in occasione della Black Hat Security Conference di Las Vegas, che aprirà i battenti nei prossimi giorni dove approfondirà quanto scoperto durante lo studio del malware.

L'aspetto più particolare, tuttavia, è il fatto che questa variante di Fruitfly sia rimasta assolutamente nell'ombra per lungo tempo. Ed è ancor più insolito se si pensa che il malware si basa su funzioni e meccanismi sostanzialmente "vecchi" e rispetto a malware nuovi e più sofisticati dovrebbe essere molto più facile da rilevare.

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Lampetto25 Luglio 2017, 14:34 #1
Verrebbe facile la battuta in riferimento a Belen qui, ma è meglio che mi astengo
ComputArte25 Luglio 2017, 23:29 #2

...e fu scoperto che anche la mela....

aveva il vermetto....
E si...perchè sarà dura ma una ragione se la devono fare anche i fan della merla morsicata: TUTTTI i sistemi operativi a stelle e strisce nascono colabrodo!
La tecnologia che coadiuva ma NON spia , certamente non è quella che stanno/ staiamo usando tutti ( a pòartire dagli SMARTphone per finire con i PC che oramai di personale hanno solo il nome constatato come WIN10 scimmiotta android e iOS )....la consapevolezza è il primo passo...
OttoVon26 Luglio 2017, 02:32 #3
17 anni che sono su internet e non ho mai avuto grane da google, NSA o altri.

"TUTTTI i sistemi operativi a stelle e strisce nascono colabrodo!"

Ci credi se ti dico che non ne conosco altri?

ps. Magari un SO polinesiano, non potendo andare in vacanza porto la vacanza da me.
Erotavlas_turbo26 Luglio 2017, 09:01 #4
Originariamente inviato da: OttoVon
17 anni che sono su internet e non ho mai avuto grane da google, NSA o altri.

"TUTTTI i sistemi operativi a stelle e strisce nascono colabrodo!"

Ci credi se ti dico che non ne conosco altri?

ps. Magari un SO polinesiano, non potendo andare in vacanza porto la vacanza da me.


Hai mai usato un servizio in cloud prima del 2013? Se si hai avuto a che fare con NSA vedi scandalo Prism.

Il sistema operativo GNU/linux non è a stelle e strisce. Il kernel linux è nato e portato avanti da Torvalds che è finlandese e dalla comunità mondiale di sviluppatori.
Il progetto GNU è della Free Software Foundation fondata da Stallman ed è a stelle e strisce, ma il progetto è portato avanti dalla comunità mondiale di sviluppatori.
Il sistema operativo Android utilizza il kernel linux e anche se supportato da bigG, almeno per questa parte non è a stelle e strisce.
Quindi esistono sistemi operativi non a stelle e strisce...
frankie26 Luglio 2017, 10:22 #5
Almeno chi metteva il nastro sulla videocamera del Mac, a questo punto aveva ragione!
OttoVon26 Luglio 2017, 14:47 #6
Originariamente inviato da: Erotavlas_turbo
Il sistema operativo GNU/linux non è a stelle e strisce. Il kernel linux è nato e portato avanti da Torvalds che è finlandese e dalla comunità mondiale di sviluppatori.


Al giorno d'oggi quanto "stelle e strisce" c'è in linux?
Fa piacere che la mia provocazione ad un'affermazione piuttosto opinabile abbia fatto centro. Non uso cloud.


ps. Un sistema più è diffuso più è vulnerabile, non cominciate a fare come gli utenti apple pre iPhone.
Erotavlas_turbo27 Luglio 2017, 11:25 #7
Originariamente inviato da: OttoVon
Al giorno d'oggi quanto "stelle e strisce" c'è in linux?
Fa piacere che la mia provocazione ad un'affermazione piuttosto opinabile abbia fatto centro. Non uso cloud.


Dipende da cosa consideriamo. Anche se prendiamo in considerazione solo linux, che ricordo è un kernel, non un sistema operativo, possiamo considerare le aziende che forniscono il maggior contributo allo sviluppo e vedere se sono a stelle e strisce oppure possiamo considerare gli sviluppatori che forniscono il maggior contributo e vedere se sono a stelle e strisce?

Considerando l'ultimo rapporto della linux foundation abbiamo.
The top 10 contributors, including the groups “unknown” and “none,” make up nearly 54 percent of the total contributions to the kernel; that is down slightly from the previous version of this report. It is worth noting that, even if one assumes that all of the “unknown” contributors are working on their own time, well over 80 percent of all kernel development is demonstrably done by developers who are being paid for their work.
Intel 12.9% (stelle e strisce), Red Hat 8% (stelle e strisce), Linaro 4% (regno unito), Samsung 3.9% (korea del sud), SUSE 3.2% (germania), IBM 2.7% (stelle e strisce), Renesas 2% (giappone), Google 2% (stelle e strisce), AMD 1.9% (stelle e strisce), Texas Instruments 1.7% (stelle e strisce) and ARM 1.4% (regno unito) tra le aziende maggiormente coinvolte nello sviluppo.
Totale a stelle e strisce 29.2% il restante 71.8% è il resto del mondo. Quindi possiamo affermare che probabilmente (non ho i dati per fare tutti i calcoli) le aziende a stelle e strisce sono le prime a contribuire al kernel linux, ma sono circa 1/3 (forse più elevato se considerassimo tutte le aziende) rispetto al contributo totale.

Considerando i 15 maggiori sviluppatori. The top 30 developers contributed just over 16 percent of the total.
H Hartley Sweeten 1.1% Al Viro 1.0% Takashi Iwai 0.8% Mark Brown 0.7% David S. Miller 0.7% Mauro Carvalho Chehab 0.7% Tejun Heo 0.7% Johannes Berg 0.7% Russell King 0.6% Thomas Gleixner 0.6% Hans Verkuil 0.6% Greg Kroah-Hartman 0.6% Ingo Molnar 0.5% Joe Perches 0.5% Christoph Hellwig 0.5%.
Ti lascio il compito di trovare la nazionalità...

Originariamente inviato da: OttoVon
ps. Un sistema più è diffuso più è vulnerabile, non cominciate a fare come gli utenti apple pre iPhone.


Sono parzialmente d'accordo. Un sistema operativo maggiormente diffuso è soggetto a un numero maggiore di attacchi senza dubbio. Tuttavia l'essere maggiormente diffuso è solo una condizione necessaria, ma non sufficiente per dire che sia maggiormente vulnerabile.
GNU/linux e android hanno il vantaggio di essere open source rispetto a windows e mac os x e quindi hanno la possibilità di far analizzare il codice sorgente da parte di un numero superiore di utenti rispetto ai sistemi operativi chiusi. Inoltre, security through obscurity è un paradigma di sicurezza molto debole.
Erotavlas_turbo27 Luglio 2017, 11:55 #8
Originariamente inviato da: ambaradan74
Android non e' che sia molto open.

http://www.androidiani.com/news/qua...fografica-78935


Hai fatto bene a riportare l'articolo. Non confondiamo il fatto di essere open source ovvero avere sorgenti aperti disponibili a tutti con il fattori di essere un progetto aperto della comunità e libero coperto da una licenza libera.
Android è rilasciato con licenza apache 2.0 e GPL2 (solo le modifiche al kernel). La licenza apache2 è nota per non essere una licenza libera, ma solo una licenza open source.
Inoltre, come bigG sviluppa android non è il massimo per la comunità che si vede "recapitare" il progetto alla fine quando è stato completato.
Tuttavia a livello di sicurezza, avere il codice sorgente disponibile permette di avere maggiore trasparenza e la possibilità di correggere i bug con maggiore velocità e facilità.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^