Alfonso Maruccia

Una backdoor datata per Mac e Linux

Gli analisti hanno individuato un esemplare di codice malevolo dalle caratteristiche peculiari, apparentemente pensato per girare su sistemi Mac ma "adattabile" perfettamente anche agli OS basati su Linux

Roma - Gli esperti di sicurezza di Malwarebytes hanno annunciato la scoperta di OSX.Backdoor.Quimitchin, malware con funzionalità da backdoor progettato per sfruttare chiamate di sistema a dir poco arcaiche - informaticamente parlando. Individuato quasi per caso, il codice malevolo potrebbe essere in circolazione - e quindi far danni - da un bel po' di anni.

Le funzioni di sistema su cui si appoggia Quimitchin - dal nome delle spie azteche addestrate per infiltrarsi nelle tribù nemiche - vengono descritte da Malwarebytes come "antiche", visto che risultano implementate nei sistemi Mac già negli anni precedenti all'avvento di OS X. Inoltre, il codice binario include anche il codice open source di libjpeg, una libreria che non risulta aggiornata dal lontanissimo 1998.

Per quanto riguarda le funzionalità operative del payload, Quimitchin si comporta da backdoor classica con la possibilità di catturare immagini dello schermo e di accedere alla webcam, controllare il sistema compromesso da remoto ed eseguire una mappatura della rete locale.
Malwarebytes ha individuato la backdoor grazie all'allarme di un amministratore di sistema insospettito per la stranezza del traffico di rete in uscita, in un contesto che classifica il malware come progettato per la compromissione di istituti e organizzazioni di ricerca biomedica.

Quimitchin sarebbe stato insomma utilizzato per attacchi estremamente specifici, fatto che avrebbe quindi favorito la sua "invisibilità" rispetto ai radar delle società di sicurezza per tutto questo tempo. Da Malwarebytes ipotizzano infine la possibile esistenza di una variante della backdoor pensata per girare sugli OS Linux, visto che - file binario in standard Mach-O a parte - il codice del malware funziona perfettamente anche in questi contesti.

Apple, che ha soprannominato il malware Fruitfly, ha già rilasciato una patch per MacOS.

Alfonso Maruccia
Notizie collegate
  • SicurezzaMac, un malware tuttofareBattezzato Eleanor, il nuovo malware identificato da Bitdefender fornisce accesso pressoché completo alle risorse della macchina infetta. Protetti gli utenti con Gatekeeper abilitato
103 Commenti alla Notizia Una backdoor datata per Mac e Linux
Ordina
  • forse e' per mac ma puo' essere adattato per linux. hahahahaha

    maruccia, ma in casa hai distrutto tutti gli specchi oppure hai abbastanza pelo sullo stomaco da sopportare la tua grandissima faccia di culo? perche solo una grandissima faccia di culo puo' avere il coraggio di spandere merda in questo modo. ma non conosci proprio vergogna?!?!?!
    mi fai schifo.
    non+autenticato
  • La colpa di Maruccia è solo quella di copiare gli articoli a cervello spento, in verità le boiate riportate nella notizia sono frutto della menti malate di Malwarebytes.
    non+autenticato
  • I venditori di antivirus sono uno spasso, per spingere la gente a comprare i loro prodotti fanno più danni di tutti gli hacckery cracckery del mondo.

    Il binario fa chiamate di sistema che non c' entrano una f*v* con linux. Infatti non funziona e non potrebbe essere altrimenti.

    Il fatto che libjpeg non abbia il codice aggiornato dal '98 non c' entra niente con il malware. Così, giusto per chiarire le solite fuddate, libjpeg non si usa più in favore di libjpeg-turbo da molto tempo.

    Qualcuno poi mi spieghi questo:

    "The presence of Linux shell commands"

    Non esistono le linux shell commands!

    Da imprese simili mi tengo alla larghhissima.

    Aria fritta.
    non+autenticato
  • Mh, dalla descrizione di malwarebytes si l'unica cosa relativa a GNU/Linux che si nota è che vi sarebbe in uno script perl un po' di codice "multipiattaforma" che suppongo includa la possibilità di salvare screenshot e determinare l'uptime della macchina anche su GNU/Linux usando il vecchio xwd (X Window Dump, un vecchio tools già presente su XFree86, prima di XOrg) e un banale "cat /proc/uptime" (che permette di sapere da quanti secondi è acceso il computer). Null'altro, ogni altra cosa è specifica di OSX, formato binario Mach-O incluso che su GNU/Linux non è affatto usabile se non attraverso un progetto di ABI credo ormai abbandonato e mai completato...

    In effetti l'unico "comando di shell" relativo a GNU/Linux pare essere il supporto di xwd e l'oneliner "cat /proc/uptime"...

    Se proprio ci si vuol divertire a far ipotesi si può assumere che l'autore abbia preso un script perl, presumo per acquisire screenshot da qualche parte e lo abbia adattato al suo scopo non rimuovendo il codice multipiattaforma dello script. Altri legami non ne vedo.

    A parte ciò come si può diffondere su GNU/Linux? Convincendo qualche mantainer di infilarlo in un pkg senza che nessuno se ne accorga (difficilino visto che i sistemi di build dei pkg sono automatici come i diff che generano.......).
    non+autenticato
  • Il fatto è che PI non voleva scaricare tutto addosso ad Apple e così hanno escogitato questo titolo: "La backdoor è per Mac, però è adattabile anche per Linux".
    non+autenticato
  • Sono i soliti trucchetti di PI per creare flame e far vedere a quelli dei banner pubblicitari che il loro sito è molto seguito. Peccato però che sono sempre gli stessi: maxsix,aphex_twin,bertuccia ecc.
    non+autenticato
  • - Scritto da: ....
    > Sono i soliti trucchetti di PI per creare flame e
    > far vedere a quelli dei banner pubblicitari che
    > il loro sito è molto seguito. Peccato però che
    > sono sempre gli stessi:
    > maxsix,aphex_twin,bertuccia
    > ecc.

    Che pero' e' gente che clicca e che paga!
  • - Scritto da: ....
    > Sono i soliti trucchetti di PI per creare flame e
    > far vedere a quelli dei banner pubblicitari che
    > il loro sito è molto seguito. Peccato però che
    > sono sempre gli stessi:
    > maxsix,aphex_twin,bertuccia panda rossa,
    > giaguarevol issimevolm ente, il fuddaro, mela marcia ecc.
    Non dimenticare i tanti altri però, tu compreso
    non+autenticato
  • ah no io mi diverto a prenderti per il culto
    non+autenticato
  • Risponderei ridendo che
    rm -fr /
    è un pericoloso trojan-comando funzionante sulla maggior parte dei sistemi *nix, OSX incluso: come avere la shell coi privilegi del caso per usarlo è lasciato al lettore...

    UNIX è nato non come OS ma come "standard" per una famiglia di OS, uno script ha ottime chance di girare su più sistemi della stessa famiglia, ma girare e funzionare sono cose diverse e arrivare a girare anche.
    non+autenticato
  • Quelli sono comandi shell e basta, linux non c' entra una massa, la shell Bash, per citarne una, gira su linux-mac-windows, chi usa l' espressione "Linux shell commands" è un somaro.
    non+autenticato
  • Sì verissimo ha usato un linguaggio improprio ma s'è capito benissimo cosa voleva dire. La bash è presente sulla stragrande maggioranza delle distribuzioni.
    non+autenticato
  • Salve,
    ho letto e riletto l'articolo ma non ho capito dove sta questo 'blob'. Di codici binari ad esempio in linux sono presenti nei driver non-free e sarabbe bene specificare dove è contenuto questo codice malevolo.
    Grazie
    non+autenticato
  • Non trovo riferimenti a blob binari di sorta, in effetti a parte il binario Mach-O (che con GNU/Linux non c'entra) ed un classe java Apple-specifica il resto sono script perl offuscati, ovvero nulla di binario.

    Penso che chi ha confezionato questo collage di script abbia preso qualcosa di preesistente e l'abbia messo insieme per ottenere quel che voleva. Su GNU/Linux non vedo alcun problema di sicurezza.
    non+autenticato
  • Questo fatto insegna due cose:

    La prima e' che non e' affatto vero che il sistema osx e' stato riscritto come i tre raccontatori di palle del forum di PI vanno predicando, ma, esattamente come winsozz, si trascina vulnerabilita' vecchie di secoli.

    La seconda e' che questo sistema operativo closed, contiene evidentemente codice GPL utilizzato abusivamente senza rispettarne la licenza che prevede di rilasciare sotto la GPL medesima tutto cio' che viene derivato.
  • E secondo me ne insegna anche una terza: ovvero che quelli che si beccano più virus sono gli utenti Mac.

    Gli utenti Linux sono più smaliziati e hanno un sistema nel complesso sicuro, fatta eccezione per alcuni bug (nessun sistema è sicuro al 100%).

    Gli utenti Windows sono a conoscenza del problema virus e col tempo stanno imparando a difendersi, MS stessa sta lavorando in questa direzione, includendo un AV (non è un granché ma serve).

    Gli utenti Mac invece hanno la convinzione di usare un sistema supersicuro e impenetrabile, quando così non è; quindi non fanno nulla per proteggersi, anche perché non ne sono capaci.
    non+autenticato
  • - Scritto da: mela marcia
    >
    > Gli utenti Linux sono più smaliziati

    gli utenti linux sono cosa?

    Rotola dal ridere vatti a fare un giro su ubuntuforums, roba che etype a confronto è professore in CS

    >
    > Gli utenti Windows sono a conoscenza del problema
    > virus e col tempo stanno imparando a difendersi,
    > MS stessa sta lavorando in questa direzione,
    > includendo un AV (non è un granché ma
    > serve).

    Penso di non aver mai visto una tale catastrofe come quella del ransomware. Ci cascano come polli ahimè, e mica pochi. È un disastro.

    >
    > Gli utenti Mac invece hanno la convinzione di
    > usare un sistema supersicuro e impenetrabile,
    > quando così non è; quindi non fanno nulla per
    > proteggersi, anche perché non ne sono
    > capaci.

    Su mac le applicazioni non firmate con certificato valido vengono bloccate di default. Gli utenti mac *sono* al sicuro
  • - Scritto da: peter
    >
    > http://securityinfo.it/2017/01/19/bastano-due-emoj

    eh guarda, stessa roba che perdere tutti i dati per un ransomware o installare una backdoor senza accorgersene
  • - Scritto da: bertuccia
    > - Scritto da: peter
    > >
    > >
    > http://securityinfo.it/2017/01/19/bastano-due-emoj
    >
    > eh guarda, stessa roba che perdere tutti i dati
    > per un ransomware o installare una backdoor senza
    > accorgersene

    Quindi il concetto di exploit che consente di eseguire codice da remoto ti e' del tutto estraneo.
  • - Scritto da: panda rossa
    >
    > Quindi il concetto di exploit che consente di
    > eseguire codice da remoto ti e' del tutto
    > estraneo.

    mostrami in che modo quel bug linkato da peter è stato sfruttato per eseguire codice remoto e ne parliamo
  • - Scritto da: bertuccia
    > - Scritto da: panda rossa
    > >
    > > Quindi il concetto di exploit che consente di
    > > eseguire codice da remoto ti e' del tutto
    > > estraneo.
    >
    > mostrami in che modo quel bug linkato da peter è
    > stato sfruttato per eseguire codice remoto e ne
    > parliamo

    Quel bug linkato da peter e' un bug. (1)

    Alcuni bug consentono di escalare privilegi ed eseguire codice remoto. (2)

    1 + 2 = 3
  • - Scritto da: panda rossa
    >
    > Quel bug linkato da peter e' un bug. (1)
    >
    > Alcuni bug consentono di escalare privilegi ed
    > eseguire codice remoto.
    > (2)
    >
    > 1 + 2 = 3

    appunto, alcuni.

    Per quello ti chiedevo la dimostrazione che quello specifico bug portasse a escalare i privilegi. Dal momento che non me la porti, assumiamo che non sia possibile.

    Il giorno che porterai la dimostrazione ne parleremo
  • - Scritto da: bertuccia
    > - Scritto da: panda rossa
    > >
    > > Quel bug linkato da peter e' un bug. (1)
    > >
    > > Alcuni bug consentono di escalare privilegi
    > ed
    > > eseguire codice remoto.
    > > (2)
    > >
    > > 1 + 2 = 3
    >
    > appunto, alcuni.

    E ti ho dimostrato che la roba apple non e' esente da bug.

    Quindi se non sei in grado di fare 1+2 continua pure a sognare di essere al sicuro.

    >
    > Per quello ti chiedevo la dimostrazione che
    > quello specifico bug portasse a escalare i
    > privilegi. Dal momento che non me la porti,
    > assumiamo che non sia
    > possibile.

    Non ho detto "quello specifico bug".
    Ho detto che apple non e' un sistema sicuro.
    Perche' ci sono i bug, e perche' alcuni bug permettono exploit.
    Quello, altri, quelli che ci saranno in futuro.

    > Il giorno che porterai la dimostrazione ne
    > parleremo

    La dimostrazione te la portera' quello che li sfruttera'.
  • - Scritto da: panda rossa
    > - Scritto da: bertuccia
    > > - Scritto da: panda rossa
    > > >
    > > > Quel bug linkato da peter e' un bug. (1)
    > > >
    > > > Alcuni bug consentono di escalare
    > privilegi
    > > ed
    > > > eseguire codice remoto.
    > > > (2)
    > > >
    > > > 1 + 2 = 3
    > >
    > > appunto, alcuni.
    >
    > E ti ho dimostrato che la roba apple non e'
    > esente da
    > bug.

    Cosa che nessuno nega , gli OS di Apple , come tutti gli altri OS in circolazione , non sono esenti da bug.
    -----------------------------------------------------------
    Modificato dall' autore il 20 gennaio 2017 21.44
    -----------------------------------------------------------
  • "da un bel po' di anni." ma non erano sistemi supersicuri e aggiornati in tempo reale? Non esistono sistemi sicuri, sono tali solo nella fantasia di certi trolloni di PI. E adesso partite pure di flame
    non+autenticato
  • - Scritto da: ...
    > ma non erano sistemi
    > supersicuri e aggiornati in tempo reale?

    Se si va a vedere il tempo che trascorre tra l'identificazione del bug al rilascio della patch il mondo opensource non ha rivali (a volte bastano poche ore), più lenta è MS, più lenta di tutti è Apple.
    non+autenticato
  • - Scritto da: mela marcia
    > - Scritto da: ...
    > > ma non erano sistemi
    > > supersicuri e aggiornati in tempo reale?
    >
    > Se si va a vedere il tempo che trascorre tra
    > l'identificazione del bug al rilascio della patch
    > il mondo opensource non ha rivali (a volte
    > bastano poche ore), più lenta è MS, più lenta di
    > tutti è
    > Apple.

    Inversamente proporzionale le performance delle applicazione desk.
    A meno che non si faccia parte di un ente molto grosso.
    non+autenticato