Il malware backdoor di Windows si nasconde come Adobe Flash su macOS

Un nuovo pezzo di backdoor malware originariamente scoperto su Windows ha trovato una nuova casa in macOS. Disguising come legittimo installatore di Adobe Flash Player, il malware si nasconde in cartelle preesistenti di macOS che rendono più difficile individuare. Dopo aver utilizzato un certificato di sviluppatore valido, il malware è stato impostato per eseguire gratuitamente su macOS anche con Gatekeeper abilitato.

Questi certificati sono stati creati per aiutare a convalidare le applicazioni con Gatekeeper , ma ultimamente sono state utilizzate per diffondere software dannoso. Questo è il secondo incidente di malware riportato nella settimana passata utilizzando un certificato valido.

Il malware di Snake, e le varianti da esso derivate, è stato attivo per quasi un decennio. Le notizie di Malwarebytes Snake ha infettato i sistemi Windows fin dal 2008 e persino avendo una variante Linux ritrovata nel 2014. Fox-IT lo descrive come un “complesso malware relativamente complesso” citando un documento di ricerca del team di risposta di emergenza computer del governo svizzero.

Fox-IT chiarisce che gli attacchi riguardanti Snake sono altamente mirati.

I ricercatori che hanno già analizzato i compromessi in cui è stato utilizzato Snake hanno attribuito gli attacchi alla Russia. Rispetto ad altri prolifici attaccanti con presunti legami con la Russia … Il codice di Snake è notevolmente più sofisticato, l’infrastruttura è più complessa e gli obiettivi sono più attentamente selezionati.

Oggi la variante macOS non è quella che riceverai casualmente, ma il modo in cui si nasconde è importante.

IL MALWARE DI ADOBE FLASH DI SNAKE

Su macOS, Snake viene distribuito tramite un file zip denominato Adobe Flash Player.app.zip . Questo file contiene una versione legittima, ma indietro, del Flash Player di Adobe. L’applicazione contenuta all’interno del file zip inizialmente sembra legittima a causa del suo certificato firmato rilasciato da Apple. A seguito di ispezioni più approfondite, la firma viene da uno sviluppatore denominato Addy Symonds , e non Adobe atteso. Anche le strutture del bundle dell’applicazione sembrano strano rispetto ad un normale.

Snake malware’s application bundle Google Chrome’s application bundle
La maggior parte degli utenti non avrebbe pensato di controllare il pacchetto di un’applicazione prima di installare l’applicazione.

Se un utente avesse proceduto all’installazione, a prescindere dal fatto che il malware installasse una copia legittima di Adobe Flash Player sul sistema. Durante questa installazione, aggiungere anche i file malintenzionati di backdoor alle cartelle di sistema macOS e tenerli persistenti. Utilizzando il servizio LaunchDaemon di Apple, potrebbe garantire che il backdoor si rilancia rapidamente se mai chiuso.

COME VERIFICARE SE IL TUO INFETTO È CON IL MALWARE DI MALWARE DI SNAKE

La versione del malware di Serpente attualmente in uso contiene codice di debug e il suo certificato è stato firmato nel febbraio di quest’anno. Ciò porta Fox-IT a credere che non sia ancora stato operativo, ma sarebbe presto utilizzato su obiettivi.

Fortunatamente , se qualcuno ha il file Adobe Flash Player.app.zip Sul loro sistema, il gestore di macOS non mostrerà più il certificato dello sviluppatore come valido. Apple ha revocato il certificato dello sviluppatore per aiutare a subire ulteriori danni.

Per controllare facilmente se un sistema è stato infettato da un malware di backdoor Snake, eseguire una scansione con Malwarebytes for Mac . Il software libero rileverà Snake come OSX.Snake e rimuoverlo.

Se desideri controllare manualmente l’infezione, il malware di backdoor installa i seguenti componenti:

/ Libreria / Scripts / coda
/ Libreria / Scripts / installdp
/Library/Scripts/installd.sh
/Library/LaunchDaemons/com.adobe.update.plist
/var/tmp/.ur-*
/tmp/.gdm-socket
/tmp/.gdm-selinux
Malwarebytes consiglia di cambiare le password e di contattare il tuo reparto IT aziendale se sei stato infettato. Il primo è quello di assicurarsi te stesso e dei conti online, e questi ultimi per mitigare ogni potenziale danno aziendale.

Gli attacchi come questi sono facilmente diffusi tramite email di phishing di lancia , quindi essere vigili nei tuoi comportamenti online .

Lascia un commento