Alfonso Maruccia

iWorm, la botnet per Mac controllata a mezzo Reddit

Identificato un nuovo malware per OS X, una botnet che fa uso di un insolito sistema di ricerca (abusando dei servizi di Reddit) per identificare i centri di comando e controllo da cui ricevere le istruzioni impartite dai cyber-criminali. Apple corre ai ripari

Roma - Il sempre più ricco bestiario di malware per Mac OS X si arricchisce di un nuovo esemplare, un codice malevolo appartenente a una botnet che Doctor Web ha identificato e classificato come Mac.BackDoor.iWorm. Insolito (e già fuori uso) il sistema di connessione con i server di comando&controllo, anche se il pericolo non è ancora passato.

Stando alle ricerche della security enterprise russa, la botnet di iWorm può contare su più di 17.000 Mac infetti sparsi per tutto il pianeta, un quarto dei quali localizzati negli Stati Uniti. Il dropper è progettato per depositare una copia del malware nella cartella Library dell'account utente attualmente connesso, e per caricare il bot a ogni avvio del sistema tramite apposito file .plist.

Una delle caratteristiche distintive di iWorm è il modo in cui il bot cerca gli IP dei server controllati dai cyber-criminali, sfruttando cioè la funzionalità di ricerca di Reddit e abusando del subreddit "minecraftserverlist" per elencare i server.
I messaggi su Reddit contenenti i server di C&C sono stati rimossi, così come risultano inaccessibili gli indirizzi IP identificati dai ricercatori Dr.Web. Apple, da parte sua, ha aggiornato il componente anti-malware di OS X ("File Quarantine", precedentemente noto come XProtect) per identificare due diverse varianti di iWorm.

Pericolo scampato, quindi? Forse, anzi no: tra le capacità di iWorm c'è quella di scaricare ed eseguire nuove versioni di se stesso o altri tipi di malware, ed è quindi prevedibile che la botnet si sia già evoluta in qualcosa di diverso dall'operazione identificata da Dr.Web.

Alfonso Maruccia
Notizie collegate
  • SicurezzaOS X, la backdoor riciclata da WindowsFireEye individua una nuova versione di una backdoor già nota da anni, un malware che nella sua incarnazione per sistemi Apple ha riciclato buona parte del codice già usato su Windows, aggiungendo un paio di funzionalità tutte nuove
144 Commenti alla Notizia iWorm, la botnet per Mac controllata a mezzo Reddit
Ordina
  • To', beccatevi questa

    http://searchdns.netcraft.com/?host=apple.com&x=0&...

    Apple si affida ai cantinari.
  • - Scritto da: Elrond
    > To', beccatevi questa
    > http://searchdns.netcraft.com/?host=apple.com&x=0&
    > Apple si affida ai cantinari.

    Alla Apple mica sono scemi: Linux è il top in ambito server, cos'altro potrebbero usare?
  • - Scritto da: Elrond
    > To', beccatevi questa
    >
    > http://searchdns.netcraft.com/?host=apple.com&x=0&
    >
    > Apple si affida ai cantinari.

    Cosa non ti è chiaro del fatto che Apple da una vita affida il proprio web ad Akamai?

    Eh?
    maxsix
    8956
  • - Scritto da: maxsix

    > Cosa non ti è chiaro del fatto che Apple da una
    > vita affida il proprio web ad
    > Akamai?
    >
    > Eh?

    che Akamai usa Linux per la propria infrastruttura

    quindi la perfetta Apple usa la roba dei cantinari, di cicciopanza e di piedipuzzosi? quella roba piena di bug e vulnerabilità!?!

    non sei indignato da tutti ciò, o sommo evangelista della mela?
    non+autenticato
  • Ma ti dirà che sfruttare il lavoro dei cantinari è un diritto sacrosanto.

    Per Apple e chi usa i suoi prodotti è più importante essere fighi, che stare in cantina a programmare sistemi che funzionano.
    iRoby
    6893
  • - Scritto da: iRoby
    > Ma ti dirà che sfruttare il lavoro dei cantinari
    > è un diritto
    > sacrosanto.

    ma d'altra parte va in giro dicendo che la roba cantinara è di infama qualità

    quindi la perfetta Apple usa roba pessima?

    così il povero maxruppolo cade in un paradosso insormontabile Rotola dal ridere
    non+autenticato
  • e Akamai cosa usa ?A bocca aperta
    non+autenticato
  • Lo sai che Steve Jobs non voleva che i suoi figli usassero l'iPad?

    http://www.comedonchisciotte.org/site/modules.php?...
    iRoby
    6893
  • Anche Bill Gates faceva la stessa cosa con i suoi figliA bocca aperta
    non+autenticato
  • - Scritto da: Elrond
    > To', beccatevi questa
    >
    > http://searchdns.netcraft.com/?host=apple.com&x=0&
    >
    > Apple si affida ai cantinari.

    Eh, no, scusa ma quelli che gestiscono Akamai non sono affatto cantinari. Anzi, non mi parrebbe così strano se molti di loro se ne andassero in giro col loro bel MacBook.
    FDG
    10893
  • sicuramente a casa per facebook usano quello, ma sul lavoro linux linux linux linux linux linux linux
    non+autenticato
  • ...conoscenza e intelligenza dei soliti noti si sprecano.

    Io mi sono chiesto, una domanda che in molti dei "commentatori" di P.I. si sono fatti (forse nessuno): ok, abbiamo capito che una volta installato in /Library... e così via apre qualche porta, cerca i server tramite Reddit... che bello... che figo... parliamone... scusate, ma come razzo viene installato?

    Cerco in rete e su macrumors trovo post:
    http://www.thesafemac.com/iworm-method-of-infectio.../

    Cioè, in pratica, l'installazione di codesto verme è stata infilata in una copia dell'installer di Photoshop distribuita via torrent tramite Pirate Bay. Ma essendo copia modificata... ci arrivate?

    Quindi, si può dire che circa 17000 stupidi hanno scaricato un software piratato e l'hanno installato nonostante gli alert del sistema sulla firma del software non riconosciuta (quella cosa per cui gli stessi geni di cui sopra sostengono che Apple vuole imprigionare utenti e svilupptori). Ovvero, la finestra

    Clicca per vedere le dimensioni originali

    Ha sortito come effetto a disabilitazione da pannello di controllo della verifica della firma.

    Comunque, mi permetto un consiglio a maxsix: piuttosto che rispondere ad ogni commento, provocazione, risatina che un pinco pallino qualunque scrive qui, perché non usi google e ti informi, così sai di che si sta parlando, anche a proposito di Reddit?
    FDG
    10893
  • - Scritto da: FDG
    > perché non usi google e ti
    > informi, così sai di che si sta parlando, anche a
    > proposito di
    > Reddit?

    Perche' lui non usa google.
    La sua religione lo vieta, e lo mantiene nell'ignoranza.
  • - Scritto da: panda rossa

    > Perche' lui non usa google.
    > La sua religione lo vieta, e lo mantiene
    > nell'ignoranza.

    Be', non è il solo. Altri simpatici amici appena hanno visto le parole "apple" e "worm" assieme, si sono eccitati e hanno dato sfogo alle loro pulsioni con la tastiera.
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: panda rossa
    >
    > > Perche' lui non usa google.
    > > La sua religione lo vieta, e lo mantiene
    > > nell'ignoranza.
    >
    > Be', non è il solo. Altri simpatici amici appena
    > hanno visto le parole "apple" e "worm" assieme,
    > si sono eccitati e hanno dato sfogo alle loro
    > pulsioni con la
    > tastiera.



    fixed?
    non+autenticato
  • - Scritto da: meh
    > - Scritto da: FDG
    > > - Scritto da: panda rossa
    > >
    > > > Perche' lui non usa google.
    > > > La sua religione lo vieta, e lo mantiene
    > > > nell'ignoranza.
    > >
    > > Be', non è il solo. Altri simpatici amici appena
    > > hanno visto le parole "apple" e "worm" assieme,
    > > si sono eccitati e hanno dato sfogo alle loro
    > > pulsioni con la
    > > tastiera.
    >
    >
    >
    > fixed?

    ma anche no
    non+autenticato
  • - Scritto da: FDG
    > ...conoscenza e intelligenza dei soliti noti si
    > sprecano.
    >
    > Io mi sono chiesto, una domanda che in molti dei
    > "commentatori" di P.I. si sono fatti (forse
    > nessuno): ok, abbiamo capito che una volta
    > installato in /Library... e così via apre qualche
    > porta, cerca i server tramite Reddit... che
    > bello... che figo... parliamone... scusate, ma
    > come razzo viene
    > installato?
    e' la domanda che mi faccio SEMPRE anche io, qualunque sia la piattaforma sia menzionata nell'articolo. Purtroppo sia l'articolista sia i commentatori sono solitamente molto scarsi su questo puntoA bocca storta

    > Cerco in rete e su macrumors trovo post:
    > http://www.thesafemac.com/iworm-method-of-infectio
    >
    > Cioè, in pratica, l'installazione di codesto
    > verme è stata infilata in una copia
    > dell'installer di Photoshop distribuita via
    > torrent tramite Pirate Bay. Ma essendo copia
    > modificata... ci
    > arrivate?
    >
    > Quindi, si può dire che circa 17000 stupidi hanno
    > scaricato un software piratato e l'hanno
    > installato nonostante gli alert del sistema sulla
    > firma del software non riconosciuta (quella cosa
    se e' necessario una patch all'exe per bypassare le protezioni e' normale che cio avvenga. Non e' certo sintomo di malware.

    > per cui gli stessi geni di cui sopra sostengono
    > che Apple vuole imprigionare utenti e
    > svilupptori). Ovvero, la
    > finestra
    beh la finestra spinge per la solita teleguida-balia apple... qualcuno potrebbe anche volere la propria autonomia mentaleSorride
    non vedo perche' uno che vuole usare del sw fuori dal canale della balia debba essere trattato con disprezzo. Per i piu' vari motivi uno puo' voler usare sw da altre fonti, o 'non distribuito ufficialmente' o proprio crackato. Ovviamente non dico che la 3th sia legale, ma io biasimerei gli sparaspam volti al solo dio denaro... una volta fare il cracker era una cosa seriaCon la lingua fuori (presente i DrinkOrDie ecc ?)

    > Comunque, mi permetto un consiglio a maxsix:
    > piuttosto che rispondere ad ogni commento,
    > provocazione, risatina che un pinco pallino
    > qualunque scrive qui, perché non usi google e ti
    > informi, così sai di che si sta parlando, anche a
    > proposito di
    > Reddit?
    "maxsix" e "sapere di cosa sta parlando" nella stessa frase? LOL
    non+autenticato
  • - Scritto da: bubba

    > beh la finestra spinge per la solita
    > teleguida-balia apple... qualcuno potrebbe anche
    > volere la propria autonomia mentaleSorride
    >
    > non vedo perche' uno che vuole usare del sw fuori
    > dal canale della balia debba essere trattato con
    > disprezzo. Per i piu' vari motivi uno puo' voler
    > usare sw da altre fonti, o 'non distribuito
    > ufficialmente' o proprio crackato...

    Allora, la firma NON implica la distribuzione attraverso l'AppStore di Apple. Apple offre come servizio gratuito la possibilità di firmare le proprie applicazioni, così che l'utente quando installa il tuo software sa che sei stato tu ad averlo fatto. Ma è lo sviluppatore che sceglie come distribuire il proprio software.

    Poi, sei comunque libero di disabilitare le protezioni e di installare tutti i software craccati che vuoi, cosciente dei rischi che corri. Non mi pare ti venga impedito.
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: bubba
    >
    > > beh la finestra spinge per la solita
    > > teleguida-balia apple... qualcuno potrebbe
    > anche
    > > volere la propria autonomia mentaleSorride
    > >
    > > non vedo perche' uno che vuole usare del sw
    > fuori
    > > dal canale della balia debba essere trattato
    > con
    > > disprezzo. Per i piu' vari motivi uno puo'
    > voler
    > > usare sw da altre fonti, o 'non distribuito
    > > ufficialmente' o proprio crackato...
    >
    > Allora, la firma NON implica la distribuzione
    > attraverso l'AppStore di Apple. Apple offre come
    > servizio gratuito la possibilità di firmare le
    > proprie applicazioni, così che l'utente quando
    > installa il tuo software sa che sei stato tu ad
    bueno, ma pero' io non l'ho detto. ho detto solo che "la finestra spinge per la solita teleguida-balia apple"... che la apple spinga in tutte le maniere per la sua teleguida non credo sia contestabile. Poi vivaddio almeno su OSX puoi fare anche altre scelte oltre l'apple mac store (o come razzo si chiama). su gli igadget come sappiamo e' tutt'altra faccenda.

    > Poi, sei comunque libero di disabilitare le
    > protezioni e di installare tutti i software
    > craccati che vuoi, cosciente dei rischi che
    > corri. Non mi pare ti venga
    > impedito.
    una grande concessioneSorride almeno sinche il pc rimane di proprieta' dell'utente ...:P
    (cmq diverso disabilitare un signature malware scanner da altre 'protezioni'... certa roba protegge altri da me... e cio' non va bene... M$ e' championship in questo)
    non+autenticato
  • cmq, per inciso e "a favore dei macuser", io non ci avrei neanche fatto un articolo su una robetta cosi' insignificante (ma io non devo pensare a scritti clicka-clickaCon la lingua fuori)
    non+autenticato
  • - Scritto da: FDG
    >
    > Io mi sono chiesto, una domanda che in molti dei
    > "commentatori" di P.I. si sono fatti (forse
    > nessuno): ok, abbiamo capito che una volta
    > installato in /Library... e così via apre qualche
    > porta, cerca i server tramite Reddit... che
    > bello... che figo... parliamone... scusate, ma
    > come razzo viene
    > installato?

    qualcuno se l'era chiesto, e si era anche risposto
    http://punto-informatico.it/b.aspx?i=4153491&m=415...
  • - Scritto da: bertuccia

    > qualcuno se l'era chiesto, e si era anche risposto
    > http://punto-informatico.it/b.aspx?i=4153491&m=415

    Uno su 62 postA bocca aperta
    FDG
    10893
  • Buahahahahahah! C'ha anche la funzione di auto-update!!!!!!!!! A bocca apertaCon la lingua fuori
    non+autenticato
  • - Scritto da: mattia
    > Buahahahahahah! C'ha anche la funzione di
    > auto-update!!!!!!!!! A bocca aperta
    >Con la lingua fuori

    È "il worm migliore di sempre!".
  • - Scritto da: Elrond
    > - Scritto da: mattia
    > > Buahahahahahah! C'ha anche la funzione di
    > > auto-update!!!!!!!!! A bocca aperta
    > >Con la lingua fuori
    >
    > È "il worm migliore di sempre!".

    IT JUST WORKS!
    Clicca per vedere le dimensioni originali
    IT'S MAGIC!
  • Povero maxminch sempre li a dire botnet a destra e a manca quando ce l'aveva in casaA bocca aperta

    Mac.BackDoor.iWorm ...però almeno sono rimasti fedeli alla mela morsicata ....iWorm Rotola dal ridere

    le fragili teorie di maxminch sul perfetto mondo apple,tutto in pezziA bocca aperta

    Ah e sono in aumento eh,preparatiA bocca aperta
    non+autenticato
  • Lui ha detto che per un essere umano è un suo diritto essere stupido.
    E questo vale anche per gli utenti Mac.

    Quindi di che ci meravigliamo? Anche tra gli utenti Mac ci sono stupidi, però sono stupidi fighi... Vuoi mettere?
    iRoby
    6893
  • - Scritto da: maxsix
    > http://www.zdnet.com/botnet-of-thousands-of-linux-
    >
    > http://beta.slashdot.org/story/206737
    >
    > Parliamone.

    Caro Frullo, Trillo e Billo dove sono? di solito lo spettacolo lo fate in tre: uno con martellone, l'atro con le torte in faccia il terzo con i piedoni. ma tutti e tre avere sempre il naso rosso e la parrucca colorata.
    Sviare l'attenzione on cambia la realta' dei fatti, ma tu insisti: piu' ridicolo ti rendi, piu divertente sei.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: maxsix
    > >
    > http://www.zdnet.com/botnet-of-thousands-of-linux-
    > >
    > > http://beta.slashdot.org/story/206737
    > >
    > > Parliamone.
    >
    > Caro Frullo, Trillo e Billo dove sono? di solito
    > lo spettacolo lo fate in tre: uno con martellone,
    > l'atro con le torte in faccia il terzo con i
    > piedoni. ma tutti e tre avere sempre il naso
    > rosso e la parrucca
    > colorata.
    > Sviare l'attenzione on cambia la realta' dei
    > fatti, ma tu insisti: piu' ridicolo ti rendi, piu
    > divertente
    > sei.

    Mr. 3 punti, che sei sempre tu, non hai ancora capito che io per voi basto e avanzo.
    Per un eternità e oltre.

    Quindi, dimmi, usi reddit? Si?
    Spiegami cos'è, sai non bado (come la maggioranza) a tutte le cretinate che ci sono li fuori.
    maxsix
    8956
  • - Scritto da: maxsix

    > Quindi, dimmi, usi reddit? Si?
    > Spiegami cos'è, sai non bado (come la
    > maggioranza) a tutte le cretinate che ci sono li
    > fuori.
    Leggi
    http://www.independent.co.uk/life-style/gadgets-an...
    Magari potresti finalmente arrivare a capire che non è che il worm si preoccupi che tu usi o non usi reddit (lo usa lui) reddit non è il veicolo è solo il media abusato (dal worm) di controllo.
    Sono oltre 17.000 i macacuzzi tuoi compari che son rimasti "ciulati" e al worm che tu usi reddit gli interessa + o - quanto interessa a Gigi delle tue iGiaguar e del tuo triciclo.
    Certo pretendere che tu legga e capisca è dura...
    Considerato che se un pesce fosse intelligente e esperto quanto te potrebbe rischiare l'annegamento...
    Ma non si sa mai.
    non+autenticato
  • certo che basti, ti prendi tante di quelle umiliazioni e disprezzo che solo un cliente apple può ricevere con così tanta abbondanza, sarai mica anche piddino?
    non+autenticato
  • - Scritto da: gnometto
    > certo che basti, ti prendi tante di quelle
    > umiliazioni e disprezzo che solo un cliente apple
    > può ricevere con così tanta abbondanza, sarai
    > mica anche
    > piddino?

    Io vedo solo cantinari rosiconi con le ossa infrante.

    Su una cosa però ti do ragione.
    Inizio a stancarmi di sparare sulla croce rossa, ci vorrebbe un cantinaro come si deve tipo Dovella.

    Allora si che ci sarebbe divertimento vero.

    PS: cos'è reddit?
    maxsix
    8956
  • dovella cantinaro? lol, ma qualcosa che abbia un senso riesci a scriverla?

    ps, per reddit usa google, è accessibile anche ai meno fortunati che usano prodotti apple
    non+autenticato
  • - Scritto da: maxsix
    > Inizio a stancarmi di sparare sulla croce rossa,
    > ci vorrebbe un cantinaro come si deve tipo
    > Dovella.

    > PS: cos'è reddit?

    Perfino Dovella sa cos'è... Occhio che le potresti prendere perfino da lui...
    non+autenticato
  • - Scritto da: maxsix
    > - Scritto da: gnometto
    > > certo che basti, ti prendi tante di quelle
    > > umiliazioni e disprezzo che solo un cliente
    > apple
    > > può ricevere con così tanta abbondanza, sarai
    > > mica anche
    > > piddino?
    >
    > Io vedo solo cantinari rosiconi con le ossa
    > infrante.

    Tu sei in ginocchio sui ceci. Altro che ossa infrante.

    > Su una cosa però ti do ragione.
    > Inizio a stancarmi di sparare sulla croce rossa,
    > ci vorrebbe un cantinaro come si deve tipo
    > Dovella.
    >
    > Allora si che ci sarebbe divertimento vero.
    >
    > PS: cos'è reddit?

    Reddit e' uno strumento che serve ai russi per inviare comandi da remoto al tuo mac.
  • - Scritto da: maxsix
    > - Scritto da: ...
    > > - Scritto da: maxsix
    > > >
    > >
    > http://www.zdnet.com/botnet-of-thousands-of-linux-
    > > >
    > > > http://beta.slashdot.org/story/206737
    > > >
    > > > Parliamone.
    > >
    > > Caro Frullo, Trillo e Billo dove sono? di
    > solito
    > > lo spettacolo lo fate in tre: uno con
    > martellone,
    > > l'atro con le torte in faccia il terzo con i
    > > piedoni. ma tutti e tre avere sempre il naso
    > > rosso e la parrucca
    > > colorata.
    > > Sviare l'attenzione on cambia la realta' dei
    > > fatti, ma tu insisti: piu' ridicolo ti
    > rendi,
    > piu
    > > divertente
    > > sei.
    >
    > Mr. 3 punti, che sei sempre tu, non hai ancora
    > capito che io per voi basto e
    > avanzo.
    che sei un avanzo lo sapevamo da tempo. sempre utile avere conferme cmq.

    cmq tornando al link, oltre il titolo avrai letto anche
    <
    Attackers have exploited Linux servers that run unpatched versions of Apache Struts and Tomcat with vulnerabilities.

    Misconfigured Elasticsearch instances have also been targeted.

    Once the Linux system has been compromised, attackers escalate privileges and infect the system with IptabLes or IptabLex malware
    >

    se tieni un apache buggato nonostante patch note da 15 mesi, sw e os configurato da un Genius Bar guy, ecc... non si puo' pretendere che non succeda nulla. Anche fosse un rtos scritto da wozniak in persona, il problema rimarrebbeCon la lingua fuori
    non+autenticato
  • - Scritto da: maxsix

    >
    > Parliamone.

    Si venuto a umiliarti in ginocchio sui ceci?

    Parliamo di quanto schifo faccia il sistema per cui fai il tifo.

    Giu' in ginocchio, sui ceci, testa bassa e coda tra le gambe!
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)