Stato News: Nuovo 3/06/2010; Aggiornato 4/06/2010 – Aggiunge nuove informazioni riguardanti la variante-upgrade PermissionResearch scoperta da Intego.

OS Coinvolti: Apple MacOSX 10.x – Non sono tutt’ora disponibili informazioni riguardanti il tipo di eseguibile portable (Intel, PPC o Universal) nè la lista di versioni obiettivo potenziale del codice maligno.

Descrizione: E’ stato identificato uno Spyware diffuso attraverso molteplici software gratuiti (applicativi e screen-saver), posizionati presso vari “download-sites” famosi (MacUpdate, VersionTracker e Softpedia). L’attacco risulta essere complesso all’identificazione da parte dei software di sicurezza, in quanto il codice maligno non è presente inizialmente all’interno del File-Vettore-Ospite (come subroutine di quest’ultimo). L’attività di compromissione avviene in maniera indiretta. L’installer, apparentemente innocuo, durante la prima esecuzione da parte della vittima, ottiene i privilegi massimali d’accesso per l’espletamento dell’operazione (come avviene tipicamente). Una volta acquisiti, procederà con il download dello Spyware prelevato da un host remoto, cedendo poi a quest’ultimo il controllo completo delle operazioni.
Esistono molteplici versioni di File-Vettore-Ospite, alcune di esse contenenti un messaggio destinato alla vittima al fine d’informarla della raccolta dati finalizzata per analisi di mercato, con l’intento di ridurre eventuali sospetti da parte dell’utente nei confronti delle attività compiute dal software.

Effetto: Il codice maligno non è dotato d’interfaccia grafica (pertanto l’utente non ne vede l’esecuzione su schermo come un qualsiasi altro software) e, grazie agli effetti dell’User Privilege Elevation richiesto dall’installer originario, la sua esecuzione avviene con privilegi d’accesso massimali. Durante le prime fasi d’operazione lo Spyware procede inserendo delle stringhe nel file di configurazione del daemon “Launchd”, al fine di assicurarsi l’esecuzione ad ogni avvio e la riaccensione in caso di spegnimento da parte dell’utente o crash inaspettato del processo principale. Il codice maligno quindi abilita una backdoor su protocollo HTTP, presso la porta 8254, garantendo il controllo dell’host compromesso da remoto. Durante la fase di analisi dei volumi locali ed della rete, alla ricerca d’informazioni, il codice maligno impiega un’ingente quantità di risorse di sistema. Lo Spyware inoltre, è dotato di funzionalità di Data Sniffing, acquisendo tutti i dati in transito presso i Browser Web impiegati dall’utente ed i frame ricevuti ed inviati dalle interfacce di rete presenti nel terminale. Tra le informazioni intercettate dal codice maligno sono presenti anche le pagine contenute nell’area “Preferiti” e le cronologie di navigazione web.
Lo Spyware è dotato di funzionalità che ne permettono l’aggiornamento senza necessità d’interazione con l’utente. Inoltre può proporre alla vittima ciò che a prima vista possono apparire come innocui sondaggi, probabilmente al fine di arricchire la quantità di dati inviati all’attaccante. Il trasferimento delle informazioni raccolte avviene su più protocolli, impiegati come canali di comunicazione, alcuni dei quali presentano delle capacità di cifratura, presso le porte 80 (HTTP) e 443 (HTTPS).

Note: La tipologia d’informazioni intercettate dallo Spyware porta ad ipotizzare un’interesse focalizzato nell’identificazione delle attività quotidiane compiute dalle vittime degli host compromessi (es. un tipo di software, d’impostazione, di sito web comune a tutti o dove si concentra l’attenzione di molti), al fine di studiarne eventuali caratteristiche e debolezze intrinseche, potenzialmente sfruttabili in futuri attacchi operati via malware.

Aggiornamento: Intego ha identificato una modifica nelle azioni compiute dallo Spyware oggetto di questo bollettino di sicurezza. Dal monitoraggio è emerso che il codice maligno, trascorso un certo periodo di tempo, avvia la procedura di upgrade del proprio core interno, risultando in una nuova variante dotata di ulteriori funzionalità di Data-Gathering. Il nuovo elemento è stato identificato sotto il nome di “PermissionResearch”.

Consigli

- Si consiglia di controllare i file sottoposti a download, anche se provenienti da fonti sicure, prima della loro installazione nel sistema locale. Infatti, sebbene gli OS odierni implementino delle funzionalità di protezione atte a contrastare eventuali acquisizioni non autorizzate di privilegi d’esecuzione, tali barriere possono essere facilmente aggirate attraverso attacchi di social engineering diretti all’utilizzatore del terminale, al fine d’indurlo in errore tramite una richiesta d’elevazione apparentemente destinata ad un file innocuo, ma in realtà ceduta alle subroutine in esso contenute, create con intenti maligni.

- Si consiglia d’installare un software Antivirale dotato di funzionalità di scansione in RealTime, al fine di mitigare eventuali rischi di sicurezza derivanti da attività apparentemente innocue.

- Qualora l’utente noti delle attività sospette molto simili a quanto descritto nel seguente bollettino, è consigliato procedere isolando il sistema sospetto dalla rete (rimuovendo eventuali cavi di rete collegati alla scheda del terminale e riconfigurando gli Access Point di zona, allo scopo d’impedire ipotetiche connessioni automatiche potenzialmente operabili dallo Spyware). Procedere quindi con le attività di disinfezione attraverso Boot-Tools dotati di software di sicurezza studiato specificatamente al fine di rimuovere minacce informatiche create per ambienti MacOSX (e non per altri OS, in quanto tali strumenti potrebbero non identificare il codice maligno, considerandolo in sicurezza, quando in realtà non lo è) ed aggiornati alle ultime definizioni antivirali rilasciare dai relativi produttori.