Nuovo trojan per Tiger e Leo

ShadowThrone · 20-06-2008, 12:01

fonte: http://www.securemac.com/

Stando a quanto dichiarato da SecureMac, sarebbero state scoperte numerose varianti di un Trojan per Mac OS X efficaci sia su Tiger che su Leopard.

Il Trojan è attualmente distribuito attraverso il sito dell’hacker ma il timore è che possa presto propagarsi attraverso iChat e Limewire. Riconoscere il file malevolo, almeno per il momento, è piuttosto facile: si presenterebbe come ASthtv05 (60 KB) compilato come AppleScript e AStht_v06 (3,1 MB) nella forma di applicazione. Il Trojan permette l’accesso remoto al sistema e può rubare la password di amministratore e quella utente; inoltre, sarebbe in grado di registrare le combinazioni di tasti e di permettere l’accesso ai documenti condivisi.

Il Trojan sfrutta un bug una feature di Apple Remote Desktop che permette di farlo girare come amministratore e, una volta attivato, si aggiunge automaticamente agli elementi di login. Per farlo partire la prima volta, ovviamente, è necessario l’intervento dell’utente il quale deve prima scaricarlo ed infine avviarlo. Il consiglio di SecureMac, manco a dirlo, è di procedere subito all’aggiornamento del proprio anti-spyware MacScan, venduto a 29,99$. Per chi desiderasse tentare un approccio più “casareccio”, è possibile attuare qualche piccolo stratagemma.

Facendo copia/incolla nel Terminale della stringa che segue, verranno cambiati i privilegi del bundle dell’applicazione ARDAgent e ciò eviterà che il Trojan possa attivarsi. Tenete presente, però, che al primo aggiornamento - o alla prima riparazione dei privilegi - il problema si ripresenterebbe, ed inoltre potrebbero manifestarsi degli inconvenienti nell’uso del Desktop Remoto.

sudo chmod -R u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app

Un’altra soluzione, in attesa che Apple si decida a risolvere il problema, è di rimuovere o rinominare ARDAgent.app, ma è una via percorribile solo nel caso non abbiate necessità di essere controllati in remoto. Altrimenti, e forse è la considerazione più ovvia, il consiglio è di stare semplicemente attenti a ciò che si scarica e si esegue, consapevoli che nessuna Sistema Operativo è perfetto ed esente da minacce.

nandox80 · 20-06-2008, 12:29

grazie per la segnalazione....

Max(IT) · 20-06-2008, 20:29

non è facilissimo avere dei danni da un trojan del genere, ma senza dubbio c' è una falla di sicurezza in OSX che Apple deve chiudere al più presto, perchè un' applicazione con il SUID settato non deve essere scriptabile in quel modo.
Certo bisogna sempre stare attenti a cosa si manda in esecuzione.

Cisto · 21-06-2008, 13:11

La soluzione su chmod funziona correttamente, come è giusto che sia; stavo provando un po' con
osascript -e 'tell app "ARDAgent" to do shell script "whoami"';

la risposta dopo il cambio torna ad essere quella giusta (prima dava root).

patanfrana · 21-06-2008, 13:26

Ma a rigor di logica funziona solo sui Mac in cui è installato Apple Remote Desktop, o sbaglio e ce l'abbiamo tutti di default?

VICIUS · 21-06-2008, 13:32

Quote:

Originariamente inviato da patanfrana

Ma a rigor di logica funziona solo sui Mac in cui è installato Apple Remote Desktop, o sbaglio e ce l'abbiamo tutti di default?

Dovrebbe essere installato di default su tutti i mac.

21-06-2008, 13:47

Quote:

Originariamente inviato da ShadowThrone

... il consiglio è di stare semplicemente attenti a ciò che si scarica e si esegue, consapevoli che nessuna Sistema Operativo è perfetto ed esente da minacce.

come non quotare questa frase!

patanfrana · 21-06-2008, 14:06

Quote:

Originariamente inviato da VICIUS

Dovrebbe essere installato di default su tutti i mac.

Infatti, ho controllato proprio ora.. allora visto che non mi serve, la rinomino.. ma come, visto che mi richiede i privilegi?

C'è una stringa da terminale?

VICIUS · 21-06-2008, 14:09

Quote:

Originariamente inviato da patanfrana

Infatti, ho controllato proprio ora.. allora visto che non mi serve, la rinomino.. ma come, visto che mi richiede i privilegi?

C'è una stringa da terminale?

Non serve rinominarlo. Basta dare il comando che ha riportato ShadowThrone nel primo messaggio e risolvi il problema di sicurezza.

patanfrana · 21-06-2008, 17:43

Sì, ma al primo aggiornamento o riparazione tornerà come prima a quanto ho capito.. quindi meglio rinominarlo, visto che tanto non lo uso..

sirus · 21-06-2008, 18:34

Quote:

Originariamente inviato da Cisto

La soluzione su chmod funziona correttamente, come è giusto che sia; stavo provando un po' con
osascript -e 'tell app "ARDAgent" to do shell script "whoami"';

la risposta dopo il cambio torna ad essere quella giusta (prima dava root).

Teoricamente non è sbagliato che il sistema di controllo remoto vada in esecuzione con i privilegi di amministrazione. E' utile in ambiente di rete.
Quello che è sbagliato è che non ci sia una limitazione sui messaggi che si possono inviare ad un'applicazione che viene eseguita con SUID root come ha fatto notare Max(IT).

Max(IT) · 21-06-2008, 23:36

mi aspetto che Apple rilasci una patch di sicurezza nel prossimo futuro

20-06-2008, 12:01	#1
ShadowThrone Senior Member Iscritto dal: Aug 2003 Città: Raleigh (North Carolina) Messaggi: 10157	Nuovo trojan per Tiger e Leo fonte: http://www.securemac.com/ Stando a quanto dichiarato da SecureMac, sarebbero state scoperte numerose varianti di un Trojan per Mac OS X efficaci sia su Tiger che su Leopard. Il Trojan è attualmente distribuito attraverso il sito dell’hacker ma il timore è che possa presto propagarsi attraverso iChat e Limewire. Riconoscere il file malevolo, almeno per il momento, è piuttosto facile: si presenterebbe come ASthtv05 (60 KB) compilato come AppleScript e AStht_v06 (3,1 MB) nella forma di applicazione. Il Trojan permette l’accesso remoto al sistema e può rubare la password di amministratore e quella utente; inoltre, sarebbe in grado di registrare le combinazioni di tasti e di permettere l’accesso ai documenti condivisi. Il Trojan sfrutta un bug una feature di Apple Remote Desktop che permette di farlo girare come amministratore e, una volta attivato, si aggiunge automaticamente agli elementi di login. Per farlo partire la prima volta, ovviamente, è necessario l’intervento dell’utente il quale deve prima scaricarlo ed infine avviarlo. Il consiglio di SecureMac, manco a dirlo, è di procedere subito all’aggiornamento del proprio anti-spyware MacScan, venduto a 29,99$. Per chi desiderasse tentare un approccio più “casareccio”, è possibile attuare qualche piccolo stratagemma. Facendo copia/incolla nel Terminale della stringa che segue, verranno cambiati i privilegi del bundle dell’applicazione ARDAgent e ciò eviterà che il Trojan possa attivarsi. Tenete presente, però, che al primo aggiornamento - o alla prima riparazione dei privilegi - il problema si ripresenterebbe, ed inoltre potrebbero manifestarsi degli inconvenienti nell’uso del Desktop Remoto. sudo chmod -R u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app Un’altra soluzione, in attesa che Apple si decida a risolvere il problema, è di rimuovere o rinominare ARDAgent.app, ma è una via percorribile solo nel caso non abbiate necessità di essere controllati in remoto. Altrimenti, e forse è la considerazione più ovvia, il consiglio è di stare semplicemente attenti a ciò che si scarica e si esegue, consapevoli che nessuna Sistema Operativo è perfetto ed esente da minacce. __________________ Piangi e piangerai solo, ridi e il mondo riderà con te. Ultima modifica di ShadowThrone : 20-06-2008 alle 12:16.

20-06-2008, 12:29	#2
nandox80 Senior Member Iscritto dal: Jan 2006 Città: L'Aquila Messaggi: 4426	grazie per la segnalazione.... __________________ Tutti amano i consigli di un esperto...ma nessuno vuole pagare per averli!!!

21-06-2008, 13:26	#5
patanfrana Senior Member Iscritto dal: Feb 2003 Messaggi: 14879	Ma a rigor di logica funziona solo sui Mac in cui è installato Apple Remote Desktop, o sbaglio e ce l'abbiamo tutti di default? __________________ MacStudio M1 Max iPhone 17 Pro Max 512GB iPad Pro M1 12,9" 5G 256GB Synology DS918+ 4x20TB Seagate Exos X20 LG OLED 77G5

21-06-2008, 17:43	#10
patanfrana Senior Member Iscritto dal: Feb 2003 Messaggi: 14879	Sì, ma al primo aggiornamento o riparazione tornerà come prima a quanto ho capito.. quindi meglio rinominarlo, visto che tanto non lo uso.. __________________ MacStudio M1 Max iPhone 17 Pro Max 512GB iPad Pro M1 12,9" 5G 256GB Synology DS918+ 4x20TB Seagate Exos X20 LG OLED 77G5

20-06-2008, 20:29	#3
Max(IT) Bannato Iscritto dal: Mar 2003 Messaggi: 33385	non è facilissimo avere dei danni da un trojan del genere, ma senza dubbio c' è una falla di sicurezza in OSX che Apple deve chiudere al più presto, perchè un' applicazione con il SUID settato non deve essere scriptabile in quel modo. Certo bisogna sempre stare attenti a cosa si manda in esecuzione.

21-06-2008, 13:11	#4
Cisto Senior Member Iscritto dal: Jun 2005 Messaggi: 1796	La soluzione su chmod funziona correttamente, come è giusto che sia; stavo provando un po' con osascript -e 'tell app "ARDAgent" to do shell script "whoami"'; la risposta dopo il cambio torna ad essere quella giusta (prima dava root).

21-06-2008, 23:36	#12
Max(IT) Bannato Iscritto dal: Mar 2003 Messaggi: 33385	mi aspetto che Apple rilasci una patch di sicurezza nel prossimo futuro

Strumenti
Mostra una versione stampabile Invia questa pagina per email