XSLCmd è una backdoor già nota da almeno 5 anni, spiega FireEye , ma l’ultima variante individuata “in the wild” ha la non comune caratteristica di rappresentare un vero e proprio porting della versione per Windows su sistemi operativi Mac OS X (OSX.XSLCmd).
Buona parte del codice del malware – configurabile e responsabile, tra le altre cose, dell’apertura di una shell nascosta per il controllo remoto, per il trasferimento automatico dei documenti da client a server e per l’installazione di nuovi file eseguibili – risulta “riciclato” nella nuova variante per Mac, sostiene FireEye.
Di suo, la backdoor XSLCmd al gusto Apple ci mette due funzionalità aggiuntive non presenti nella versione originale per Windows e dedicate alla registrazione di tutti i tasti premuti sulla tastiera (keylogging) e il salvataggio della schermata del PC tramite cattura di un apposito screenshot.
Responsabile del codice di XSLCmd, e quasi sicuramente della gestione remota della backdoor, sia su Windows che su Mac OS X, è un team noto come “GREF”, una gang di ignoti cyber-criminali che stando alle analisi di FireEye prende di mira i contractor della difesa statunitense e le aziende di elettronica mondiali tramite l’installazione di codice JavaScript malevolo nei siti Web di servizi molto popolari e (apparentemente) sicuri per gli utenti finali, come Google Analytics.
Alfonso Maruccia