Wirenet: il trojan abbraccia Linux e OS X

Wirenet: il trojan abbraccia Linux e OS X

La società di sicurezza italiana ITSEC ha annunciato di aver identificato ed analizzato un nuovo trojan multipiattaforma, capace di infettare alla stessa maniera sia Windows che Linux, Solaris e OS X

di Alessandro Bordin pubblicata il , alle 08:25 nel canale Sicurezza
WindowsMicrosoft
 

Uno degli argomenti maggiormente dibattuti tra i sostenitori dei vari sistemi operativi è quello della sicurezza e, principalmente, dell'esposizione di ognuno di essi al mondo dei virus informatici. Sotto questo punto di vista, statistiche alla mano, Windows è senza ombra di dubbio il sistema operativo maggiormente esposto al rischio di infezioni, catalizzando quasi totalmente l'attenzione dei pirati informatici.

Tuttavia, con l'incremento della diffusione dei sistemi operativi alternativi Linux e OS X, sembra sia aumentato sempre più l'interesse del cybercrime nei confronti di queste nuove piattaforme, che per anni hanno goduto di una sorta di "immunità diplomatica" verso i malware. Interesse così fortemente cresciuto negli ultimi due anni da costringere Apple ad aggiungere un vero e proprio scanner antivirus tra le funzionalità del proprio sistema operativo, aggiornato periodicamente tramite il servizio degli aggiornamenti di sistema.

La società di sicurezza italiana ITSEC ha annunciato di aver identificato ed analizzato un nuovo trojan multipiattaforma, capace di infettare alla stessa maniera sia Windows che Linux, Solaris e OS X. Secondo Marco Giuliani, direttore della società, Wirenet - questo il nome del trojan - è il primo esemplare di trojan multipiattaforma con funzionalità di password stealing, cioè capace di rubare dati personali dai vari sistemi operativi ed inviarli ad un server remoto controllato dal creatore del malware.

"Come è possibile notare dall'analisi del trojan Wirenet, le similarità tra le infezioni per Linux e OS X e i classici malware per Windows stanno velocemente aumentando. L'idea è che Wirenet sia il primo vero tentativo di portare le classiche infezioni già note da tempo in Windows su Linux e OS X" ha dichiarato Giuliani. Non è ancora ben chiaro come il trojan sia arrivato nei PC infetti, anche se Giuliani osserva come, con alta probabilità, l'ingegneria sociale ed eventuali bug nei plugin - spesso non aggiornati - dei vari browser possano aver giocato un ruolo chiave nella diffusione di tale infezione.

Una volta eseguito, il trojan resta in esecuzione come un normale processo utente, dunque facilmente identificabile, anche se ovviamente l'utente deve controllare attentamente la lista dei processi attivi per rendersi conto della presenza dell'ospite indesiderato. Wirenet tende infatti a spacciarsi per un driver del dispositivo WiFi. Tra le funzionalità del trojan la capacità di effettuare screenshot continui di ciò che avviene sul desktop, nascondere finestre o cambiarne il titolo, simulare la pressione di tasti sulla tastiera o movimenti del mouse, ricevere comandi dal server remoto tra i quali la possibilità anche di installare da remoto ulteriori malware nel sistema.

Una funzionalità condivisa tra la variante di Wirenet per Windows e quella per Linux e Solaris - ma non su OS X ancora - è la funzionalità di keylogging. Il trojan infatti è in grado di registrare tutti i tasti premuti sulla tastiera e di inviarli al server remoto, al fine di rubare eventuali password digitate da tastiera o informazioni private varie.

"Non è una sorpresa la presenza in un malware per Linux di una routine di keylogging, visto che esempi vari sono presenti su internet da diverso tempo. Il punto fondamentale è che un keylogger può essere eseguito su Linux nella stessa identica, semplice maniera con cui viene eseguito su Windows, senza la necessità di alcun permesso di root" ha osservato Giuliani.

Wirenet include inoltre delle funzionalità per individuare eventuali installazioni dei browser, client di posta e client di messaggistica istantanea più diffusi nei sistemi operativi colpiti e, se trovati, ne ruba eventuali password salvate nei loro password manager. I browser colpiti su Windows e Linux sono Google Chrome, Chromium, Opera, Firefox e, solo su Windows, Internet Explorer. Tra i client di posta colpiti ci sono Mozilla Thunderbird e, solo su Windows, Microsoft Live Mail. Inoltre Wirenet tenta di rubare i dati di messaggistica istantanea del software Pidgin.

I percorsi di installazione del trojan sono su Linux %home%/WIFIADAPT mentre su OS X %home%/WIFIADAPT.app

"Questa infezione su Linux e OS X, per come è stata scritta, ricorda molto da vicino i primi password-stealing trojan per Windows NT. Si tratta di tanto tempo fa per Windows. È forse l'inizio di una nuova era per Linux e OS X?" conclude infine Giuliani. Per un'analisi approfondita del trojan Wirenet è possibile far riferimento al seguente link: http://www.itsec.it/2012/09/11/wirenet-the-password-stealing-trojan-lands-on-linux-and-os-x/

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
JackZR14 Settembre 2012, 09:06 #1
Complimenti agli hacker.
gondsman14 Settembre 2012, 09:32 #2
Si sapeva da sempre che su linux e' relativamente facile scrivere un keylogger, la colpa non e' di linux in se' ma di X che chiaramente non e' stato sviluppato per la sicurezza. Con wayland la situazione sara' radicalmente diversa, ma ci vorra' ancora un bel po' credo...
Rubberick14 Settembre 2012, 11:13 #3
ma per beccarselo?

c'e' qualche suggerimento di cose da non fare?

disabilitare tutti i plugin dei browser e via?
insane7414 Settembre 2012, 11:18 #4
Non è ancora ben chiaro come il trojan sia arrivato nei PC infetti, anche se Giuliani osserva come, con alta probabilità, l'ingegneria sociale ed eventuali bug nei plugin - spesso non aggiornati - dei vari browser possano aver giocato un ruolo chiave nella diffusione di tale infezione.


in pratica è arrivata la classica mail con l'allegato da lanciare con "sudo"?

come sempre il 99% dei problemi è tra la sedia e la tastiera.
ok che con l'aumentare del market share si entra nel mirino dei vari creatori di virus/malware, ma finché si richiede l'intervento dell'utente per eseguire l'azione che poi infetta il sistema... non c'è OS che tenga!
Hal200114 Settembre 2012, 11:23 #5
Originariamente inviato da: insane74
come sempre il 99% dei problemi è tra la sedia e la tastiera.


SpyroTSK14 Settembre 2012, 11:52 #6
cioè vorreste dirmi che questo è un trojan?
con uno script in bash faccio di meglio.
Faster_Fox14 Settembre 2012, 12:46 #7
non sono ignorante riguardo linux, di più! Ma io sapevo che per beccarsi qualcosa c'era bisogno che l'utente dovesse dare il permesso di amministratore (sudo) per essere infettato...praticamente dare il permesso al trojan e chissaà cos'altro di entrare...è ancora così?
riva.dani14 Settembre 2012, 13:00 #8
Prima che si scatenino flame, volevo solo dire che è risaputo che nessun sistema è invulnerabile. Però, insomma, un trojan che richiede una buona dose di ingegneria sociale e/o un plugin obsoleto (ricordo che in genere su Linux ogni programma/plugin si aggiorna automaticamente, un po' come avviene con le App di Android/iOS) mi pare un pericolo trascurabile e possiamo continuare tranquillamente a dire che su Linux non si ha bisogno di un antivirus.
WarDuck14 Settembre 2012, 13:05 #9
Originariamente inviato da: riva.dani
Prima che si scatenino flame, volevo solo dire che è risaputo che nessun sistema è invulnerabile. Però, insomma, un trojan che richiede una buona dose di ingegneria sociale e/o un plugin obsoleto (ricordo che in genere su Linux ogni programma/plugin si aggiorna automaticamente, un po' come avviene con le App di Android/iOS) mi pare un pericolo trascurabile e possiamo continuare tranquillamente a dire che su Linux non si ha bisogno di un antivirus.


Falso, non si possono trascurare gli effetti dell'ingegneria sociale... vallo a dire ad RSA .
eraser14 Settembre 2012, 14:12 #10
Originariamente inviato da: Faster_Fox
non sono ignorante riguardo linux, di più! Ma io sapevo che per beccarsi qualcosa c'era bisogno che l'utente dovesse dare il permesso di amministratore (sudo) per essere infettato...praticamente dare il permesso al trojan e chissaà cos'altro di entrare...è ancora così?


Non c'è bisogno dei diritti amministrativi in questo caso

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^