L’esperto di sicurezza Patrick Wardle ha deciso di osservare più da vicino il codice di Fruitfly , una minaccia informatica nota da gennaio e progettata per colpire i sistemi OS X o (teoricamente) anche le distro Linux. Le conclusioni di Wardle vanno ben oltre quelle originarie di Malwarebytes e descrivono una minaccia apparentemente interessata solo al mero tecncontrollo. Per motivazioni che lasciano troppo spazio alla fantasia.
Fruitfly è una backdoor per Mac , e su questo non ci piove: i sistemi infetti sono programmati per contattare un centro di comando&controllo remoto, ma in mancanza del server principale nel codice sono presenti anche domini secondari da cui prelevare istruzioni. Alcuni di questi domini erano ancora disponibili sul mercato, così Wardle ha approfittato dell’occasione per prendere il controllo della rete malevola.
Tra le informazioni comunicate da Fruitfly al server ci sono l’indirizzo IP e il nome del sistema infetto, che in buona parte dei Mac dovrebbe corrispondere al nome del proprietario; il malware ha quindi la capacità di compromettere sia l’identità che la location dell’utente del sistema infetto, ha spiegato Wardle, ma il peggio deve ancora venire.
Wrote C&C server to analyze🍎-virus for @BlackHatEvents / @defcon talk. Took over a C&C addr & 100s 🤒💻 (90% in 🇺🇸): ‘hi, task us’👮now involved😱 pic.twitter.com/DxS1y8KYZB
– patrick wardle (@patrickwardle) 21 luglio 2017
Fruitfly è in grado di attivare da remoto la webcam e il microfono integrati sul Mac, di prendere il controllo del mouse, modificare i file e persino notificare al server quando il PC è in uso; si tratta di caratteristiche che vengono notoriamente osservate in malware progettati da organizzazioni statali, dice Wardle, e diversamente dai tipici attacchi ATP ( Advanced Persistent Threat ) nel caso di Fruitfly le vittime sembrano essere utenti e cittadini comuni.
Il numero di sistemi compromessi individuati dal ricercatore ammonta a circa 400, con la maggioranza (90 per cento) localizzati negli USA. L’autore di Fruitfly avrebbe agito per ragioni “perverse”, ipotizza Wardle , avendo cioè in mente di spiare centinaia di sconosciuti – anche se il numero totale di sistemi infetti dovrebbe essere nell’ordine delle migliaia.
Quel che è peggio, accusa Wardle, i Mac e il sistema OS X sono al momento caratterizzati da misure di sicurezza insufficienti – bucabili più facilmente rispetto alle versioni più recenti di Windows, ad esempio. Almeno per quanto riguarda la minaccia Frutifly, infine, il ricercatore ha coinvolto le autorità e l’intera botnet dovrebbe essere fuori gioco.
Alfonso Maruccia
Ti potrebbe interessare
26 lug 2017