Ricercatori e vendor di software antivirus F-Secure e Kaspersky Lab riportando di aver individuato un nuovo malware che sfrutta tecniche d’ingegneria sociale per consentire l’esecuzione di applet Java e installare backdoor su sistemi Windows, Linux e Mac. L’attacco è stato individuato su un sito web in Colombia: Karmina Aquino, senior analyst di F-Secure, riporta che visitando il sito è richiesto il consenso all’esecuzione di un applet Java non firmata digitalmente dalle certificate authority (un metodo che permette di considerare l’applet sicura); confermando il permesso di eseguire l’esecuzione (digitando nome utente e password dell’amministratore), l’applet verifica il sistema operativo in uso e installa codice binario malevolo specifico per la piattaforma sulla quale sta girando. I file sono etichettati da F-Secure come “Backdoor:OSX/GetShell.A”, “Backdoor:Linux/GetShell.A” e”Backdoor:W32/GetShell.A”. Lo scopo delle backdoor è l’attivazione di un canale di comunicazione con un server di controllo e comando al quale attingere per lo scaricamento e l’esecuzione di altro codice malevolo. Da quando F-Secure ha iniziato a monitorare l’attacco sembra ad ogni modo che il server di controllo remoto non ha, almeno per il momento, inviato alcun codice riferisce Aquino.
L’attacco sembra sfruttare il “Social Engineer Toolkit” (SET) un pentester che mette a disposizione svariati attacchi di tipo Social-Engineer da una comoda interfaccia utente. La possibilità che si tratti solo di penetration test server è secondo F-Secure molto bassa. I ricercatori di Kaspersky stanno monitorando due siti nei quali è presente il malware: uno è il sito colombiano già individuato da F-Secure, l’altro è quello di un parco acquatico a Barcellona (in Spagna). La presenza del malware su un sito spagnolo indica che l’attacco non è pensato specificatamente per la Colombia o particolari entità. Kaspersky ha già analizzato il codice shell del malware/backdoor per Windows (600KB) e Linux (1MB) e riporta che si tratta di codice complesso che comunica in modo cifrato con altri server.
Non è la prima volta che un attacco multipiattaforma è individuato. Nel 2010 fu scoperto Boonana, un applet/malware che per la sua esecuzione sfruttava tecniche di social-engineering e poteva colpire utenti OS X, Windows e Linux (l’utente era ingannato presentando un link a un messaggio nel cui soggetto era scritto “Is this you in this video?”: quando l’utente faceva click era avviata di nascosto un applet Java che scaricava un file nel computer avviando automaticamente un installer; ottenuti i permessi dell’utente, l’installer modificava i file di sistema e impostava l’avvio automatico del trojan nascondendone allo stesso tempo l’esecuzione).
“Gli attacchi multipiattaforma indicano che Linux e OS X stanno diventano un target interessante per i cybercriminali” dice Costin Raiu, direttore del global research and analysis team presso Kaspersky Lab.
[A cura di Mauro Notarianni]