mercoledì 18 aprile 2012

Kaspersky Lab individua SabPub, nuova backdoor colpisce utenti Mac


Il noto Trojan Flashfake che ha aiutato a realizzare una botnet composta da oltre 700 mila Mac, può essere considerato il più importante esempio di vulnerabilità per sistemi Mac OS X, ma non è sicuramente l’unico. I ricercatori di Kaspersky Lab hanno scoperto un altro programma nocivo che colpisce i computer Apple, che è stato successivamente confermato come Advanced Persistent Threat e conosciuto come LuckyCat. A differenza del Trojan Flashfake, che ha portato alla luce i potenziali pericoli di un ambiente Mac OS X non protetto, il nuovo malware, conosciuto con il nome di Backdoor.OSX.SabPub.a, è l’esempio di come un computer Apple vulnerabile possa essere completamente controllato da cyber criminali.

La nuova backdoor è stata rilevata per la prima volta nell’aprile del 2012. Similarmente a Flashfake, ha sfruttato alcune vulnerabilità della Java Virtual Machine. In particolare, il secondo passo mostra la gravità della vulnerabilità CVE-2012-0507. Il numero di utenti infettati da questo malware è relativamente basso, indice di un utilizzo di questa backdoor per attacchi mirati. Dopo l’attivazione su di un sistema infettato, questo si connette ad un sito web remoto per ottenere istruzioni. Il server di comando e controllo era situato negli Stati Uniti e utilizzava un servizio gratuito di DNS dinamico per inoltrare le richieste dei computer infetti.

I successivi eventi hanno poi confermato la teoria iniziale che SabPub facesse parte di un attacco mirato. Gli esperti di Kaspersky Lab hanno preparato una falsa macchina vittima, infettata dalla backdoor ed il 15 aprile hanno rilevato un’attività sospetta. I cyber criminali hanno preso il controllo del sistema infetto ed hanno iniziato ad analizzarlo, inviando comandi per visualizzare i contenuti delle cartelle root e home, scaricando inoltre alcuni documenti falsi archiviati all’interno del sistema. Questa attività di analisi era quasi certamente manuale e non utilizzava sistemi automatizzati, cosa atipica nel caso di malware ad ampia diffusione. Quindi, si può affermare con certezza che questa backdoor è un esempio di utilizzo attivo di una Advanced Persistent Threat.

Nel corso dell’analisi della backdoor, sono emersi ulteriori dettagli riguardo il vettore di infezione dell’attacco mirato. Gli esperti di Kaspersky Lab hanno rilevato sei documenti Microsoft Word contenenti l’exploit. Due di questi hanno scaricato nel sistema il SabPub. Il tentativo di aprire gli altri quattro documenti su un sistema vulnerabile ha portato all’infezione con un altro malware specifico per Mac. I contenuti di uno dei documenti legati al SabPub conteneva riferimenti alla comunità tibetana. Allo stesso tempo, il collegamento tra SabPub ed un altro attacco mirato per macchine Windows, conosciuto con il nome di LuckyCat, ha evidenziato lo stesso punto di origine per differenti attività criminali.


Costin Raiun, Kaspersky Lab Expert, ha commentato: "Purtroppo ci sono poche informazioni nei file doc, ma il campo autore e la data di creazione sono interessanti. In particolare, se ci fidiamo della data di creazione, questo significa che il contenitore DOC è stato creato in agosto 2010 ed è stato aggiornato nel 2012 con il campione SabPub. Questo è abbastanza normale per questi attacchi e lo abbiamo visto in altri casi, per esempio, Duqu. Pensiamo che i fatti di cui sopra mostrano un collegamento diretto tra il SabPub e gli attacchi APT di Luckycat. Sono abbastanza sicuro che la backdoor SabPub è stato creato nel febbraio 2012 ed è stato distribuito tramite e-mail spear-phishing".

Al momento, non è chiaro come gli utenti vengono infettati da questo, ma la funzionalità backdoor ed il numero basso indica che è utilizzato probabilmente in attacchi mirati. Diversi rapporti suggeriscono che l'attacco è stato lanciato tramite e-mail contenenti un URL che punta a due siti web che ospitano l'exploit, che si trovano negli Stati Uniti e Germania. I tempi della scoperta di questa backdoor sono interessanti perché a marzo, numerose relazioni hanno sottolineato attacchi Pro-Tibet mirati contro gli utenti Mac OS X. Il malware non sembra essere simile a quello utilizzato in questi attacchi, anche se è possibile che facesse parte delle stesse campagne o di altre simili.

Questo può essere un indicatore che è ancora in fase di sviluppo e non è la versione finale. Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha commentato: "La backdoor SabPub dimostra ancora una volta che non esistono ambienti software senza vulnerabilità. Il numero relativamente basso di malware per Mac OS X non è indice di una maggiore sicurezza di questi sistemi. I recenti casi quali Flashfake e SabPub dimostrano che anche i dati personali di utenti Mac non protetti sono a rischio, forse perché i cyber-criminali hanno compreso la crescente quota di mercato di questi sistemi oppure perché vengono assoldati per attaccare specificatamente i computer Apple".

Un altro dettaglio importante è che la backdoor è stata compilata con le informazioni di debug - che rende la sua analisi abbastanza semplice. Kasperksy Lab sta continuando la sua ricerca in questo malware e pubblicherà aggiornamenti, se necessario. Il malware Backdoor.OSX.SabPub, insieme ai relativi exploit, è rilevato e rimosso da Kaspersky Anti-Virus 2011 per Mac. Per ulteriori informazioni su questa Backdoor è possibile consultare il report e l’analisi al sito Securelist.com. Kaspersky Lab è la più grande azienda di soluzioni antivirus in Europa. Per ulteriori informazioni, visitare www.kaspersky.it. Per scoprire le ultime novità su antivirus, antispyware, antispam e altri argomenti sulla sicurezza informatica, visitare www.securelist.com.



1 commento: