Nuovi dettagli emergono sulla Fruitfly, una quasi impercettibile Mac backdoor

0
300

0

(Immagine: Hugues Valentin/file di foto)

Sei mesi dopo che è stato scoperto, il primo malware per Mac dell’anno è ancora causando scalpore.

La recente scoperta Fruitfly malware è un furtivo ma altamente invasiva malware per Mac che è andato inosservato per anni. Il titolare del malware ha la capacità di remoto di prendere il controllo completo del computer infetto — file, webcam, schermo, tastiera e mouse.

Ma nonostante la sua recente scoperta, poco è conosciuto circa i malware.

Dato quanto raro malware per Mac, in particolare uno con tutte le caratteristiche di quello che potrebbe essere uno stato-nazione attaccante, Patrick Wardle, un ex-NSA hacker che ora serve come chief security researcher presso Synack, si mise al lavoro.

Il nucleo del malware è uno dei offuscato script perl utilizza antiquato codice, con gli indicatori nel codice che suggeriscono che il malware può andare indietro di quasi la metà di un decennio o più, la società di sicurezza ha detto. Tuttavia, il malware funziona ancora bene moderne versioni di macOS, tra cui Yosemite. Fruitfly si collega e comunica con un server di comando e controllo, in cui un utente malintenzionato remoto spiare e controllare un Mac infetto.

Ma che cosa, e perché, non sono molto noti.

“Non è più sofisticato malware per Mac,” disse Wardle in un Segnale di chiamata, la scorsa settimana, ma lo ha descritto come “feature complete”. Come gli altri, non era sicuro di quello che il malware ha fatto esattamente una prima occhiata.

Invece di reverse-engineering del malware codice per vedere che cosa ha fatto, ha preso un nuovo approccio di creare un proprio server di comando e controllo di interagire direttamente con un campione di malware nel suo laboratorio.

Una selezione di computer, il nome utente, e il nome del computer infettato da sulla mosca della frutta malware. (Immagine: Patrick Wardle/Twitter)

“Ho dovuto capire come creare un server di comando e controllo che potesse parlare il “linguaggio” del malware”, ha detto. Che lasciarlo completamente decostruire ciò che il malware ha semplicemente “chiedere” il malware le domande giuste, dandogli una panoramica senza precedenti nella sua funzionalità.

Egli scoprì che poteva assumere il controllo completo del Mac infetto, tra cui la tastiera ed il mouse, prendere screenshot del display, accendere la webcam, e modificare i file. Il malware può anche eseguire comandi in background, e anche uccidere il malware del processo del tutto-probabilmente nel tentativo di evitare il rilevamento.

“La caratteristica più interessante è che il malware in grado di inviare un avviso quando l’utente è attivo,” disse Wardle, in modo che l’utente malintenzionato può quindi evitare di interferire con il computer rimane nascosto. “Non ho mai visto prima”, ha detto. Ha anche scoperto che alcuni comandi supportati parametri aggiuntivi. Che cosa ha chiamato “il secondo byte” per ogni comando più granulare opzioni. Ha spiegato che lui potrebbe prendere screenshot del display di qualità variabile — utile per le connessioni a bassa velocità o tentato di eludere il rilevamento della rete.

Ha notato che il malware che stava comunicando a un server primario non in linea. Ma alcuni dei server di backup.

Armato con il suo Python-based di comando e script di controllo, ha registrato alcuni domini, e sparato sui suoi server. E che quando il suo schermo ha cominciato a riempire con il computer della vittima, il collegamento al suo server, uno dopo l’altro.

“Ho pensato, ‘f**k!’ – Devo essere responsabile qui,” ha detto. Quando il malware si connette, si ottiene l’indirizzo IP, il nome dell’utente e il nome del computer (che è in genere il nome completo dell’utente). “Ho appena effettuato l’accesso, le connessioni e analizzato i nomi dei computer, poi ha chiuso la connessione,” ha detto.

La prima analisi è che come il 90 per cento delle vittime sono in NOI, con la evidente connessione tra gli utenti, ha detto. “Era solo una generale infarinatura di utenti.”

Ma le domande rimangono su cui il malware è venuto da, e al ruolo che esso svolge.

Wardle detto sulla base del target vittime, il malware è meno probabile eseguire da uno stato-nazione attaccante, e più probabilmente gestito da un singolo hacker “con l’obiettivo di spiare le persone per ragioni perverse.” Lui non dice quanti sono stati colpiti dal malware, ma ha suggerito che non era diffusa come altre forme di malware.

Egli, inoltre, non era certo l’esatto metodo di consegna del malware, ma ha suggerito che potrebbe infettare un computer attraverso un allegato e-mail nocivo.

Wardle ha dato informato e ora sta lavorando con le forze dell’ordine in materia, consegnando l’elenco delle vittime e dei server di comando e controllo.

“È necessario rendersi conto che questo tipo di ri-espone il fatto che si può essere una persona comune e di essere ancora vittima di un insidioso attacco”, ha detto. “Questo è solo un altro esempio che i Mac sono vulnerabili come qualsiasi altro computer.”

In parte per questo motivo, Wardle trascorre il suo tempo libero lo sviluppo di free-to-download Mac strumenti per la protezione contro questo tipo di attacco, compreso di Vigilanza, che avvisa gli utenti quando i loro microfono o webcam diventa attivo; essenzialmente proteggere contro alcune delle caratteristiche di questo malware.

“Non è sorprendente che questo malware non rilevati per cinque o più anni, perché gli attuali Mac software di sicurezza è spesso poco efficace,” ha detto. “La maggior parte non guardare anche per questo tipo di attività.”

Wardle è impostato per parlare di malware in modo più dettagliato alla Black Hat conference di Las Vegas mercoledì.

In contatto con me in modo sicuro

Zack Whittaker può essere raggiunto in modo sicuro sul Segnale e WhatsApp al 646-755-8849, e la sua PGP impronte digitali per l’e-mail è: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

Cappello Nero 2017

Dump l’olio di serpente e mostra i ricercatori di sicurezza di un po ‘ di rispetto

Tu sarai sicuro: RSA dice che non si può forzare settore privato per rompere la crittografia

iCloud falla di sicurezza mettere iPhone, Mac password a rischio

0