E’ stato individuato un nuovo malware costruito per colpire sistemi OS X e chiamato Komplex (Trojan.OSX.Sofacy.gen dal motore anti-malware Kaspersky per MAC)

Il malware è della famiglia dei Trojan, sembra essere legato al gruppo Sofacy, un gruppo di Cyber Spionaggio responsabile anche della recente diffusione di dati che proverebbero il ricorso al doping degli atleti americani impegnati alle olimpiadi provenienti dai server dell’agenzia internazionale per la lotta al doping, è stato costruito per sferrare attacchi mirati, rubando informazioni ed eseguendo comandi arbitrari sulla macchina infettata.

Il malware effettua dei controlli ed implementa tecniche di evasione dall’analisi euristica ed è in di accorgersi se viene eseguito in una sandbox.

Komplex scarica un’altro componente “dropper” e lo posiziona nella cartella “/tmp/content” (SHA256: 96a19a90caa41406b632a2046f3a39b5579fbf730aca2357f84bf23f2cbc1fd3).
Il componente “dropper” a sua volta installa in maniera persistente, inserendolo fra le applicazioni eseguite all’avvio del sistema operativo un terzo componente eseguibile reperibile nella cartella “/Users/<nome_utente>/.local/kextd” (SHA256:
227b7fe495ad9951aebf0aae3c317c1ac526cdd255953f111341b0b11be3bbc5), assieme ad un file di tipo plist posizionato in “/Users/<nome_utente>/com.apple.updates.plist”  (SHA256:
1f22e8f489abff004a3c47210a9642798e1c53efc9d6f333a1072af4b11d71ef) ed uno script che si occupa della persistenza del malware “/Users/<nome_utente>/start.sh” (SHA256:
d494e9f885ad2d6a2686424843142ddc680bb5485414023976b4d15e3b6be800).

Come già avvenuto in passato il vettore di penetrazione sfruttato da questo malware è la posta elettronica.

Il messaggio virato contiene un solo allegato in forma di pacchetto eseguibile che a sua volta contiene il codice cifrato del malware, gli script e un documento in formato PDF.

Quando viene aperto l’allegato, il codice del malware carica e apre un documento PDF. L’utente ritiene che il risultato della sua operazione sia congruo, si aspettava di aprire un allegato e così è stato, non immaginando che invece ha installato un malware sul proprio sistema.

Questo genere di malware, il trojan è molto insidioso, il sistema vittima di questo attacco non ha una sintomatologia che gli permetta di capire che è stato attaccato, tuttavia questi malware lasciano delle porte aperte ai criminali che sono riusciti ad installarlo.

Tramite il server Command & Control possono rubare dati presenti sul sistema e scaricare file aggiuntivi sulla macchina in modo da poter eseguire comandi di shell arbitrari, il cui risultato viene inviato come risposta al server C&C

La prevenzione in questi casi è fondamentale, sono necessari un ottimo sistema antispam ed un ottimo antimalware.

LibraESVA è fra i migliori antispam, grazie al sistema di filtraggio basato su 14 stadi di scansione, i 3 motori antimalware disponibili, il sistema sandbox per l’analisi dei collegamenti è in grado di filtrare il 99,97% dei messaggi di spam, con un tasso di falsi positivi quasi assenti.

Kaspersky Endpoint Security for Business è disponibile anche per sistemi MAC, ed è già in grado di bloccare questa minaccia. Logiche commerciali hanno trasmesso il concetto che i sistemi OS X fossero esclusi dalla minaccia dei malware, purtroppo la realtà è differente, pur non essendo diffusi come per altre piattaforme, i malware esistono anche per OS X, proteggersi è una reale esigenza.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni