Quimitchin: il malware “immortale” per Mac

Gen 19, 2017 Marco Schiaffino Malware, Minacce, News, Trojan 0

Il trojan contiene codice che sfrutta a componenti usati da Apple addirittura nel 1998. Un trucco per aggirare gli antivirus?

La leggenda per cui i computer Apple sarebbero immuni ai malware è stata sfatata da tempo, ma la scoperta di codice nocivo per i Mac riserva sempre qualche sorpresa.

È il caso di Quimitchin, un trojan individuato da Malwarebytes e che potrebbe essere in circolazione da parecchio tempo.

Secondo Thomas Reed, che ha analizzato il malware, al suo interno ci sono infatti parte di codice che sembrano essere state pensate e scritte parecchi anni fa.

Difficile, però, capire se si tratti davvero di un trojan piuttosto “anziano”, aggiornato nel corso degli anni per adattarne le caratteristiche e passato inosservato per anni, o se la presenza di codice obsoleto sia piuttosto uno stratagemma adottato dal suo autore per aggirare i controlli comportamentali degli antivirus, adottando tecniche che i software di sicurezza non considerano più sospette.

L’idea che si tratti di un malware “anziano”, però, sembra aver suggestionato il ricercatore al punto di assegnargli un nome particolare: i Quimitchin erano infatti spie azteche che nell’antichità venivano usate per infiltrare altre tribù per carpirne i segreti.

Thomas Reed ha assegnato al trojan il nome delle antiche spie azteche Quimitchin, che venivano inviate in avanscoperta prima di attaccare una tribù rivale.

Il malware, da un punto di vista tecnico, è composto da due file: uno contenente il codice maligno in sé, l’altro progettato per garantire il suo avvio in automatico a ogni accensione del computer.

Come fa notare Reed, Quimitchin sembra essere stato realizzato per colpire sia i Mac, sia i sistemi Linux. Molte delle funzionalità, infatti, integrano anche comandi pensati per il sistema open source. Anche se il sample analizzato non è in grado di compromettere le macchine Linux, quindi, è possibile che esista una variante del malware in grado di farlo.

Il server Command and Control a cui Quimitchin si collega, in ogni caso, è una vecchia conoscenza degli esperti di sicurezza e viene usato anche per gestire alcuni trojan per Windows.

La vocazione “multipiattaforma” dell’attacco è confermata anche da altri elementi: Quimitchin, infatti, è programmato per scaricare dal server C&C uno script Perl il cui scopo è quello di eseguire una mappatura della rete locale e individuare tutti i dispositivi connessi, le porte in uso e il loro indirizzo IP.

Lo scopo del trojan è, principalmente, di memorizzare screenshot e cercare di accedere alla webcam. Ciò che ha sorpreso il ricercatore, però, è l’uso di soluzioni tecniche piuttosto obsolete, che secondo Reed avrebbero le loro radici addirittura in un’epoca precedente a OS X.

Un altro elemento “fuori posto” sotto il profilo temporale è una parte di codice che fa riferimento a una libreria open source (libjpeg) che è stata aggiornata l’ultima volta nel 1998. Secondo il ricercatore di Malwarebytes, però, l’anomalia potrebbe essere dovuta al fatto che i pirati hanno usato una vecchia documentazione per progettare il malware.

All’interno del codice, infine, ci sono tracce di un aggiornamento eseguito per garantire la compatibilità con OS X Yosemite (rilasciato nel 2014). Il malware originale, quindi, dovrebbe essere precedente a quella data.

Secondo Reed, Quimitchin potrebbe essere effettivamente in circolazione da tempo ed essere stato usato solo in un limitato numero di attacchi mirati.

Condividi l'articolo