Wirenet: il trojan abbraccia Linux e OS X

Uno degli argomenti maggiormente dibattuti tra i sostenitori dei vari sistemi operativi è quello della sicurezza e, principalmente, dell'esposizione di ognuno di essi al mondo dei virus informatici. Sotto questo punto di vista, statistiche alla mano, Windows è senza ombra di dubbio il sistema operativo maggiormente esposto al rischio di infezioni, catalizzando quasi totalmente l'attenzione dei pirati informatici.

Tuttavia, con l'incremento della diffusione dei sistemi operativi alternativi Linux e OS X, sembra sia aumentato sempre più l'interesse del cybercrime nei confronti di queste nuove piattaforme, che per anni hanno goduto di una sorta di "immunità diplomatica" verso i malware. Interesse così fortemente cresciuto negli ultimi due anni da costringere Apple ad aggiungere un vero e proprio scanner antivirus tra le funzionalità del proprio sistema operativo, aggiornato periodicamente tramite il servizio degli aggiornamenti di sistema.

La società di sicurezza italiana ITSEC ha annunciato di aver identificato ed analizzato un nuovo trojan multipiattaforma, capace di infettare alla stessa maniera sia Windows che Linux, Solaris e OS X. Secondo Marco Giuliani, direttore della società, Wirenet - questo il nome del trojan - è il primo esemplare di trojan multipiattaforma con funzionalità di password stealing, cioè capace di rubare dati personali dai vari sistemi operativi ed inviarli ad un server remoto controllato dal creatore del malware.

"Come è possibile notare dall'analisi del trojan Wirenet, le similarità tra le infezioni per Linux e OS X e i classici malware per Windows stanno velocemente aumentando. L'idea è che Wirenet sia il primo vero tentativo di portare le classiche infezioni già note da tempo in Windows su Linux e OS X" ha dichiarato Giuliani. Non è ancora ben chiaro come il trojan sia arrivato nei PC infetti, anche se Giuliani osserva come, con alta probabilità, l'ingegneria sociale ed eventuali bug nei plugin - spesso non aggiornati - dei vari browser possano aver giocato un ruolo chiave nella diffusione di tale infezione.

Una volta eseguito, il trojan resta in esecuzione come un normale processo utente, dunque facilmente identificabile, anche se ovviamente l'utente deve controllare attentamente la lista dei processi attivi per rendersi conto della presenza dell'ospite indesiderato. Wirenet tende infatti a spacciarsi per un driver del dispositivo WiFi. Tra le funzionalità del trojan la capacità di effettuare screenshot continui di ciò che avviene sul desktop, nascondere finestre o cambiarne il titolo, simulare la pressione di tasti sulla tastiera o movimenti del mouse, ricevere comandi dal server remoto tra i quali la possibilità anche di installare da remoto ulteriori malware nel sistema.

Una funzionalità condivisa tra la variante di Wirenet per Windows e quella per Linux e Solaris - ma non su OS X ancora - è la funzionalità di keylogging. Il trojan infatti è in grado di registrare tutti i tasti premuti sulla tastiera e di inviarli al server remoto, al fine di rubare eventuali password digitate da tastiera o informazioni private varie.

"Non è una sorpresa la presenza in un malware per Linux di una routine di keylogging, visto che esempi vari sono presenti su internet da diverso tempo. Il punto fondamentale è che un keylogger può essere eseguito su Linux nella stessa identica, semplice maniera con cui viene eseguito su Windows, senza la necessità di alcun permesso di root" ha osservato Giuliani.

Wirenet include inoltre delle funzionalità per individuare eventuali installazioni dei browser, client di posta e client di messaggistica istantanea più diffusi nei sistemi operativi colpiti e, se trovati, ne ruba eventuali password salvate nei loro password manager. I browser colpiti su Windows e Linux sono Google Chrome, Chromium, Opera, Firefox e, solo su Windows, Internet Explorer. Tra i client di posta colpiti ci sono Mozilla Thunderbird e, solo su Windows, Microsoft Live Mail. Inoltre Wirenet tenta di rubare i dati di messaggistica istantanea del software Pidgin.

I percorsi di installazione del trojan sono su Linux %home%/WIFIADAPT mentre su OS X %home%/WIFIADAPT.app

"Questa infezione su Linux e OS X, per come è stata scritta, ricorda molto da vicino i primi password-stealing trojan per Windows NT. Si tratta di tanto tempo fa per Windows. È forse l'inizio di una nuova era per Linux e OS X?" conclude infine Giuliani. Per un'analisi approfondita del trojan Wirenet è possibile far riferimento al seguente link: http://www.itsec.it/2012/09/11/wirenet-the-password-stealing-trojan-lands-on-linux-and-os-x/