Gli esperti di sicurezza di Malwarebytes hanno annunciato la scoperta di OSX.Backdoor.Quimitchin , malware con funzionalità da backdoor progettato per sfruttare chiamate di sistema a dir poco arcaiche – informaticamente parlando. Individuato quasi per caso, il codice malevolo potrebbe essere in circolazione – e quindi far danni – da un bel po’ di anni.
Le funzioni di sistema su cui si appoggia Quimitchin – dal nome delle spie azteche addestrate per infiltrarsi nelle tribù nemiche – vengono descritte da Malwarebytes come “antiche”, visto che risultano implementate nei sistemi Mac già negli anni precedenti all’avvento di OS X . Inoltre, il codice binario include anche il codice open source di libjpeg, una libreria che non risulta aggiornata dal lontanissimo 1998.
Per quanto riguarda le funzionalità operative del payload , Quimitchin si comporta da backdoor classica con la possibilità di catturare immagini dello schermo e di accedere alla webcam, controllare il sistema compromesso da remoto ed eseguire una mappatura della rete locale.
Malwarebytes ha individuato la backdoor grazie all’allarme di un amministratore di sistema insospettito per la stranezza del traffico di rete in uscita, in un contesto che classifica il malware come progettato per la compromissione di istituti e organizzazioni di ricerca biomedica.
Quimitchin sarebbe stato insomma utilizzato per attacchi estremamente specifici, fatto che avrebbe quindi favorito la sua “invisibilità” rispetto ai radar delle società di sicurezza per tutto questo tempo. Da Malwarebytes ipotizzano infine la possibile esistenza di una variante della backdoor pensata per girare sugli OS Linux , visto che – file binario in standard Mach-O a parte – il codice del malware funziona perfettamente anche in questi contesti.
Apple, che ha soprannominato il malware Fruitfly, ha già rilasciato una patch per MacOS.
Alfonso Maruccia