Aggiornamenti recenti Aprile 18th, 2024 2:00 PM
Gen 19, 2017 Marco Schiaffino Malware, Minacce, News, Trojan 0
La leggenda per cui i computer Apple sarebbero immuni ai malware è stata sfatata da tempo, ma la scoperta di codice nocivo per i Mac riserva sempre qualche sorpresa.
È il caso di Quimitchin, un trojan individuato da Malwarebytes e che potrebbe essere in circolazione da parecchio tempo.
Secondo Thomas Reed, che ha analizzato il malware, al suo interno ci sono infatti parte di codice che sembrano essere state pensate e scritte parecchi anni fa.
Difficile, però, capire se si tratti davvero di un trojan piuttosto “anziano”, aggiornato nel corso degli anni per adattarne le caratteristiche e passato inosservato per anni, o se la presenza di codice obsoleto sia piuttosto uno stratagemma adottato dal suo autore per aggirare i controlli comportamentali degli antivirus, adottando tecniche che i software di sicurezza non considerano più sospette.
L’idea che si tratti di un malware “anziano”, però, sembra aver suggestionato il ricercatore al punto di assegnargli un nome particolare: i Quimitchin erano infatti spie azteche che nell’antichità venivano usate per infiltrare altre tribù per carpirne i segreti.
Il malware, da un punto di vista tecnico, è composto da due file: uno contenente il codice maligno in sé, l’altro progettato per garantire il suo avvio in automatico a ogni accensione del computer.
Come fa notare Reed, Quimitchin sembra essere stato realizzato per colpire sia i Mac, sia i sistemi Linux. Molte delle funzionalità, infatti, integrano anche comandi pensati per il sistema open source. Anche se il sample analizzato non è in grado di compromettere le macchine Linux, quindi, è possibile che esista una variante del malware in grado di farlo.
Il server Command and Control a cui Quimitchin si collega, in ogni caso, è una vecchia conoscenza degli esperti di sicurezza e viene usato anche per gestire alcuni trojan per Windows.
La vocazione “multipiattaforma” dell’attacco è confermata anche da altri elementi: Quimitchin, infatti, è programmato per scaricare dal server C&C uno script Perl il cui scopo è quello di eseguire una mappatura della rete locale e individuare tutti i dispositivi connessi, le porte in uso e il loro indirizzo IP.
Lo scopo del trojan è, principalmente, di memorizzare screenshot e cercare di accedere alla webcam. Ciò che ha sorpreso il ricercatore, però, è l’uso di soluzioni tecniche piuttosto obsolete, che secondo Reed avrebbero le loro radici addirittura in un’epoca precedente a OS X.
Un altro elemento “fuori posto” sotto il profilo temporale è una parte di codice che fa riferimento a una libreria open source (libjpeg) che è stata aggiornata l’ultima volta nel 1998. Secondo il ricercatore di Malwarebytes, però, l’anomalia potrebbe essere dovuta al fatto che i pirati hanno usato una vecchia documentazione per progettare il malware.
All’interno del codice, infine, ci sono tracce di un aggiornamento eseguito per garantire la compatibilità con OS X Yosemite (rilasciato nel 2014). Il malware originale, quindi, dovrebbe essere precedente a quella data.
Secondo Reed, Quimitchin potrebbe essere effettivamente in circolazione da tempo ed essere stato usato solo in un limitato numero di attacchi mirati.
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...