I ricercatori di Kaspersky Lab hanno individuato circa un mese fa un malware multipiattaforma che colpisce non solo i Mac ma anche i PC Windows, le macchine virtuali VMware e dispositivi con Windows Mobile. Il trojan realizzato in Java sfrutta il “solito” trucco di spacciarsi per Flash Player invitando l’utente con tecniche d’ingegneria sociale a installare il programma richiedendo per l’operazione nome utente e password dell’amministratore.
Se eseguito, il trojan individua il sistema operativo, prosegue con la finta installazione e nel frattempo installa un file JAR incorporato nel malware che intercetta le mail, il testo digitato dall’utente nelle applicazioni di instant messaging e tiene traccia dei siti visitati. Inizialmente i ricercatori pensavano di avere a che fare con un malware specifico per OS X ma ricerche successive di Symantec hanno mostrato come questo creava file autorun.inf su dispositivi collegati (file che su Windows permettono di specificare applicazioni da avviare automaticamente al collegamento di una periferica come ad esempio una chiavetta USB) e attaccare i file-immagine di macchine virtuali VMware.
Anche i dispositivi con Windows Mobile sono attaccati e sfruttati per replicare il malware sui computer utilizzati nella fase di sincronizzazione con gli smartphone. Le applicazioni anti-malware individuano il payload come “Trojan.Maljava”, l’eseguibile per OS X come “OSX.Crisis” e quello per Windows come “W32.Crisis”. Stando a quanto riferito da Intego, il malware potrebbe essere derivato da un software di spionaggio sviluppato da Hacking Team, una società italiana specializzata nel settore che vende strumenti specializzati ad agenzie governative impegnate in operazioni di sicurezza.
[A cura di Mauro Notarianni]
