Hacking Team è tornata in azione con un malware per Mac OSX

Dopo l'attacco che in molti pensavano l'avrebbe stroncata, sono stati identificati una backdoor e un dropper per MacOsX firmati proprio dall'azienda milanese.

Il portavoce di Hacking Team lo aveva detto: "ci servirà del tempo, ma torneremo più forti di prima". Adesso non sappiamo bene quanto siano "forti", ma di sicuro sono tornati.

Alcuni ricercatori di sicurezza, tra i quali Patrick Wardle che ha pubblicato una interessante analisi, hanno scovato alcuni pezzi di malware che sono direttamente riconducibili all'azienda milanese e che sono stati compilati (a quanto pare) a ottobre del 2015, quindi alcuni mesi dopo l'attacco che era riuscito a sottrarre diversi giga di dati che sono poi stati rilasciati su Wikileaks e su altri canali del sottobosco di Internet.

hacking team en 1
Una parte del codice analizzato da Kaspersky che ha portato alla scoperta della chiave di codifica a 32 bit usata dal malware.

La nuova backdoor ritrovata è stata progettata per funzionare sotto Mac OSX e si rivela piuttosto completa.

Può prendere degli screenshot, rubare informazioni di vario tipo da applicazioni, rubrica dei contatti e dal calendario; può spiare le vittime attivando webcam e microfono; può leggere i messaggi delle chat e copiare quanto presente nella clipboard, oltre ad ascoltare le chiamate.

Non mancano, poi, le funzioni più classiche come leggere email e altri tipi di messaggi (istantanei o da backup dello smartphone), così come rintracciare la posizione del dispositivo accedendo alle funzioni di geolocalizzazione.

Niente che molte altre backdoor non facciano altrettanto bene, ma qualche caratteristica speciale ce l'ha.

Secondo l'analisi pubblicata sul blog di Objective-See, l'installer del malware usa una tecnica di crittografia per rendere più difficile la sua identificazione.

knockknock
KnockKnock è un software usato dal primo ricercatore che ha analizzato la minaccia, utile per trovare tutti i programmi che si installano e si avviano al boot di Mac OS X.

Sfruttando le routine di crittografia native dell'ambiente Apple, il codice cerca di passare inosservato ad antivirus e utenti e lo si deve decodificare per poterlo analizzare e comprenderne gli scopi malevoli.

Questa tecnica, descritta in maniera particolareggiata nel post, è risultata piuttosto efficace, tanto che al momento della sua scoperta il malware di Hacking Team non veniva riconosciuto da nessuno dei 54 software antivirus inclusi nell'analisi del sito di TotalVirus.

Ovviamente, una volta scovato le cose sono cambiate in fretta e Kaspersky ha addirittura già pubblicato un'altra analisi del malware compiuta dai suoi specialisti del GReAT.

Il consiglio dei ricercatori è quello di verificare se per caso il vostro sistema sia stato compromesso e per farlo, basta controllare la presenza nella directory ~/Library/Preferences/8pHbqThW/ dei file _9g4cBUb.psr oppure Bs-V7qIU.cYL.

Per rimuovere il malware, bisogna cancellare l'intera directory e il file ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist.