Una nuova variante di backdoor per Mac OS X è utilizzata per gli attacchi APT (Advanced Persistent Threat)

Di
Redazione Data Manager Online
-
Aumenta il numero di gruppi APT che sfrutta gli exploit per gli attacchi

Alcuni giorni fa Kaspersky Lab ha intercettato una nuova campagna APT, che utilizza una nuova variante di backdoor per MacOS X destinata agli attivisti Uyghur

Prima di entrare nei dettagli, ecco un piccolo indovinello:

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

– Il Dalai Lama entra in un App Store. Perché?

Una possibile risposta è “comprare uno dei nuovi MacBook Pro con Retina display!”.

Scherzi a parte, in realtà Dalai Lama è un utente Mac e chi meglio di lui potrebbe utilizzare un MacBook Pro da 17”:

 

                              

 

Forse non è una sorpresa assistere all’aumento del numero di attacchi APT contro utenti di alto profilo che utilizzano il Mac.

Il 27 giugno Kaspersky Lab ha intercettato una nuova ondata di attacchi APT nei confronti di utenti Mac Uyghur.

Le e-mail ricevute allegavano un file ZIP contenente una foto in JPG e un’app per MacOS X. L’applicazione è in realtà una nuova versione, passata inosservata, del backdoor MaControl (Universal Binary), che supporta sia i386 che Mac PowerPC. È stato rilevato come: “Backdoor.OSX.MaControl.b”.

Quando viene eseguito, si installa nel sistema e si connette al server di Comando e Controllo per ricevere istruzioni. Backdoor consente al suo operatore di visualizzare e trasferire file, eseguire comandi sulla macchina infetta.

Come al solito, nonostante alcuni dei commenti e delle informazioni per il debug siano in inglese contengono degli errori:

–          “Recieve” invece di “Receive”

–         “os verison” invece di “os version”

–         “memery” invece di “memory”

–         Ecc…

La backdoor è abbastanza flessibile – il server di Comando e Controllo è memorizzato in un blocco di configurazione, che è stato aggiunto alla fine del file, con una dimensione di 0x214 byte. Il blocco di configurazione è mascherato da una semplice operazione “substract 8”.

Leggi anche:  Cradlepoint annuncia la strategia SASE 5G per la sicurezza delle reti WAN cellulari e ibride

Una volta decodificato, il server di comando e controllo degli indirizzi può essere localizzato: 61.178.77*, questo nello specifico proveniva dalla Cina.

Come conseguenza della grande diffusione dei dispositivi Mac, ci si aspetta che il numero di attacchi APT verso Mac OS X possa crescere. Gli attacchi precedenti hanno utilizzato un exploit MS Office (Exploit.MSWord.CVE-2009-0563.a.). L’attacco descritto in questo documento si basa sul social engineering per spingere l’utente ad eseguire il backdoor. Proprio come per i malware destinati ai PC, la combinazione di exploit e trucchi di social engineering sono generalmente più efficaci, per questo motivo è previsto a breve un aumento di questi attacchi.