Alfonso Maruccia

OS X, la backdoor riciclata da Windows

FireEye individua una nuova versione di una backdoor già nota da anni, un malware che nella sua incarnazione per sistemi Apple ha riciclato buona parte del codice già usato su Windows, aggiungendo un paio di funzionalità tutte nuove

Roma - XSLCmd è una backdoor già nota da almeno 5 anni, spiega FireEye, ma l'ultima variante individuata "in the wild" ha la non comune caratteristica di rappresentare un vero e proprio porting della versione per Windows su sistemi operativi Mac OS X (OSX.XSLCmd).

Buona parte del codice del malware - configurabile e responsabile, tra le altre cose, dell'apertura di una shell nascosta per il controllo remoto, per il trasferimento automatico dei documenti da client a server e per l'installazione di nuovi file eseguibili - risulta "riciclato" nella nuova variante per Mac, sostiene FireEye.

Di suo, la backdoor XSLCmd al gusto Apple ci mette due funzionalità aggiuntive non presenti nella versione originale per Windows e dedicate alla registrazione di tutti i tasti premuti sulla tastiera (keylogging) e il salvataggio della schermata del PC tramite cattura di un apposito screenshot.
Responsabile del codice di XSLCmd, e quasi sicuramente della gestione remota della backdoor, sia su Windows che su Mac OS X, è un team noto come "GREF", una gang di ignoti cyber-criminali che stando alle analisi di FireEye prende di mira i contractor della difesa statunitense e le aziende di elettronica mondiali tramite l'installazione di codice JavaScript malevolo nei siti Web di servizi molto popolari e (apparentemente) sicuri per gli utenti finali, come Google Analytics.

Alfonso Maruccia
Notizie collegate
  • AttualitàLa backdoor della MelaUn esperto di sicurezza informatica svela una serie di funzioni non documentate di iOS. In grado di servire su un piatto d'argento i dati personali dell'utente a chiunque interessato a carpirli
  • SicurezzaAbsolute Computrace, assoluta vulnerabilitàIl software per il controllo remoto dei PC è affetto da gravi vulnerabilità di sicurezza, capaci di trasformare un sistema antifurto in una backdoor estremamente capace e difficile da eliminare
8 Commenti alla Notizia OS X, la backdoor riciclata da Windows
Ordina
  • "per siatemi Apple"
    ufo1
    183
  • a maru' , se avessero inserito "codice javascript malevolo su siti Web di servizi molto popolari come google analytics", la cosa sarebbe in prima pagina ovunque, te pare?
    Vai a rileggere theregister e traduci meglioOcchiolinoCon la lingua fuori
    non+autenticato
  • già... è un articolo a dir poco vergognoso, in realtà il codice viene aggiunto alle pagine web dei siti che utilizzano lo script di google analytics non per sfruttare detto codice ma semplicemente per nascondercelo dentro. In realtà è un javascript che potrebbe stare anche dentro jquery o lo scriptino per aprire i pop-up. Hanno scelto quello di GA probabilmente perché più diffuso.

    Questo è lo script dove viene nascosto il codice:
    <script type="text/javascript">
        var _gaq = _gaq || [];
        _gaq.push(['_setAccount', 'UA-XYXYXYX-1']);
        _gaq.push(['_setDomainName', 'XYXYXYX.XYX']);
        _gaq.push(['_trackPageview']);

        (function() {
         var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
         ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
         var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
        })();
    </script>

    probabilmente veniva aggiunta una function atta a richiamare il codice malevolo
    non+autenticato
  • - Scritto da: gnammolo
    > già... è un articolo a dir poco vergognoso, in
    > realtà il codice viene aggiunto alle pagine web
    > dei siti che utilizzano lo script di google
    > analytics non per sfruttare detto codice ma
    > semplicemente per nascondercelo dentro. In realtà
    > è un javascript che potrebbe stare anche dentro
    > jquery o lo scriptino per aprire i pop-up. Hanno
    > scelto quello di GA probabilmente perché più
    > diffuso.
    >
    > Questo è lo script dove viene nascosto il codice:
    > <script type="text/javascript">
    >     var _gaq = _gaq || [];
    >     _gaq.push(['_setAccount', 'UA-XYXYXYX-1']);
    >     _gaq.push(['_setDomainName', 'XYXYXYX.XYX']);
    >     _gaq.push(['_trackPageview']);
    >
    >     (function() {
    >      var ga = document.createElement('script');
    > ga.type = 'text/javascript'; ga.async =
    > true;
    >      ga.src = ('https:' ==
    > document.location.protocol ? 'https://ssl' :
    > 'http://www') +
    > '.google-analytics.com/ga.js';
    >      var s =
    > document.getElementsByTagName('script')[0];
    > s.parentNode.insertBefore(ga,
    > s);
    >     })();
    > </script>
    >
    > probabilmente veniva aggiunta una function atta a
    > richiamare il codice
    > malevolo

    Interessante, io non sono un esperto di programmazione WEB ma mi chiedevo come fa del codice Javascript a infettare una macchina o un browser.

    Cioè ... se io ho Firefox e lo chiudo, a parte i cookie (che nel mio caso comunque si cancellano) e la memoria permanente di HTML5 (eventuale) posso dare per assunto che il browser sia ripulito o no ?
    non+autenticato
  • Ma non era sicuro il Mac? Addirittura hanno preso spunto da quello di Windows ?A bocca aperta
    non+autenticato
  • Non solo fa le stesse cose della versione Windows, ha anche qualche funzione in più!

    Non c'è che dire: il mac è sempre avanti!
    OcchiolinoRotola dal ridere
    non+autenticato
  • - Scritto da: Guido la Vespa
    > Non solo fa le stesse cose della versione
    > Windows, ha anche qualche funzione in
    > più!
    >
    > Non c'è che dire: il mac è sempre avanti!
    > OcchiolinoRotola dal ridere


    "la migliore backdoor di sempre" (semicit.)
  • - Scritto da: Guido la Vespa
    > Non solo fa le stesse cose della versione
    > Windows, ha anche qualche funzione in
    > più!
    >
    > Non c'è che dire: il mac è sempre avanti!
    > OcchiolinoRotola dal ridere
    Ma se hanno copiato pure questo, altro che avantiA bocca aperta
    non+autenticato