Tag Archive for backdoor

MAC.Eleanor la backdoor che prende il controllo dei Mac

Bitdefender ha annunciato che i suoi ricercatori hanno scoperto un nuovo malware che sta prendendo di mira Mac OS X. Si tratta di una Backdoor chiamata MAC.Eleanor che è in grado di compromettere completamente il sistema rubando i file, controllando la vostra webcam, ed eseguuendo codice maligno e molto altro ancora.

Come il malware MAC.Eleanor infetta i Mac

Antivirus Mac comparativa

Gli hacker spesso cercano exploit con la minima resistenza, e in molti casi gli utenti sono inconsapevoli dei rischi che corrono. Questa backdoor viene preparata all’interno di quello che sembra essere una legittima applicazione di conversione di file, chiamata EasyDoc Converter, tra l’altro disponibile anche tramite il famoso sito MacUpdate.
Tuttavia, l’applicazione non lavora come dovrebbe e una volta installata, esegue uno script malevolo che installa un servizio nascosto Tor, che consente agli aggressori di accedere e controllare il computer infetto da remoto.
Questo script imposta un servizio web che dà agli hackers la possibilità di manipolare i file, eseguire comandi e script, accedere a un elenco dei processi in esecuzione e applicazioni e inviare e-mail con allegati.

Il malware utilizza anche uno strumento chiamato “wacaw”, che permette a un hacker di catturare video e immagini utilizzando la webcam integrata, e inoltre potrebbe bloccare il vostro computer portatile, minacciando di ricattarvi per ripristinare i file privati ​​o trasformare il vostro computer in una botnet per attaccare altri dispositivi.

Backdoor.MAC.Eleanor

Come sapere se il vostro Mac è infetto

Visto che il malware è stato confezionato solo nell’applicazione EasyDoc Converter, è necessario scaricare l’applicazione, installarla ed eseguirla per far si che la vostra macchina sia colpita.
I Mac hanno un sistema di sicurezza chiamato Gatekeeper, che si trova in Preferenze di Sistema sotto Sicurezza e Privacy. Per impostazione predefinita, blocca le applicazioni firmate da sviluppatori non identificati esecuzione.
Se si scarica un’applicazione non firmata da fuori il Mac App Store e si cerca di di eseguirla, sarete avvisati con un prompt che indica l’applicazione non può essere aperta.

Quindi, se non avete mai scaricato l’applicazione e/o non avete mai bypassato le impostazioni di Gatekeeper per eseguirla, il Mac dovrebbe essere ancora al sicuro dal malware Backdoor.MAC.Eleanor.

Come eliminare la backdoor

Malwarebytes e Sophos sono già stati aggiornati per rilevare Backdoor.MAC.Eleanor, e qualsiasi software antivirus che esegue la scansione alla ricerca di malware dovrebbe presto seguirne l’esempio.
Per liberare il vostro Mac del malware, scaricate l’applicazione Malwarebytes Anti-Malware per Mac o un altro antivirus come questo, eseguite immediatamente una scansione ed eliminate tutti i file associati.

Antivirus Mac comparativa

Per evitare casi come questo, in futuro, assicuratevi che le impostazioni Gatekeeper siano impostate per consentire solo le applicazioni dal Mac App Store e agli sviluppatori identificati. Se è necessario installare un’applicazione da uno sviluppatore sconosciuto, siate certi che si tratta di da una fonte attendibile.

Inoltre, è possibile utilizzare un programma come BlockBlock per rilevare l’installazione di qualsiasi software persistente. Questo non è necessariamente il rilevamento del malware, ma può aiutare a sottolineare le applicazioni con componenti che non dovrebbero essere lì.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Scoperto il trojan Ventir per Mac, come capire se si è infetti

La scorsa settimana, la società specializzata in antivirus Kaspersky ha annunciato la scoperta di un nuovo malware per Mac chiamato Ventir.
Il malware contiene un Trojan, un keylogger e una backdoor. Kaspersky non dice come viene installato il malware che dovrebbe essere un file eseguibile Unix, che potrebbe essere stato parte di un pacchetto di applicazione o installazione, o che potrebbe essere stato destinato a essere utilizzato in attacchi mirati con accesso fisico ai Mac presi di mira.
In entrambi i casi, l’esecuzione di questo file nel terminale infetta il sistema.

Mac-Malware-Ventir-Trojan
Il rapporto Kaspersky indica una differenza di comportamento a seconda che l’accesso root sia disponibile (ad esempio se l’ utente ha fornito involontariamente admin e  password per l’app dannosa).
Mentre se l’utente ha rifiutato di inserire la password, il malware si installa in un modo diverso.Ventir se eseguito con “sudo” nel terminale, che consente l’accesso di root, crea una cartella denominata “.local” nella cartella /Library, e installa alcuni file all’interno di essa.
Si installa anche un file denominato “com.updated.launchagent.plist” nella cartella /Library/ LaunchDaemons, che mantiene aggiornato ilfile eseguibile in esecuzione in ogni momento.
Se invece l’accesso di root non è disponibile, si installa nella cartella “.local” nella cartella Libreria dell’utente.
In questo caso, il file com.updated.launchagent.plist viene creato nella cartella ~/Library/LaunchAgents.
Kaspersky Lab sospetta che il malware Ventir, o qualcosa adesseo collegato, potrebbero essere state utilizzate in recenti furti di dati.
In particolare alla luce delle recenti fughe di login e password dai database da Yandex, Mail.ru e Gmail.
è possibile che il malware della famiglia Ventir sia stato utilizzato per fornire i dati ai database pubblicati da criminali informatici.Inoltre è significativo che uno dei suoi tanti componenti di Ventir (l’estensione del kernel del keylogger) è composto da codice open-source e liberamente disponibile sul sito GitHub.

Antivirus Mac comparativa

L’utilizzo di software open-source rende molto più facile per gli hacker creare nuovi malware e questo significa che possiamo pensare che il numero di programmi spia Trojan potrà crescere molto in futuro.

Apple non ha ancora bloccato Ventir con XProtect, ma speriamo che aggiornerà OS X a breve; ma anche se un aggiornamento XProtect proteggerà contro Ventir in forma trojan, è importante capire che se questo è utilizzato da un utente malintenzionato con accesso fisico al computer, potrebbe comunque bypassare XProtect.

Come capire se si è stati infettati

Per identificare se si è infetti o no, guardare nelle seguenti cartelle cercando il file com.updated.launchagent.plist:

~/Library/LaunchAgents/
/Library/LaunchDaemons/

Se si trova il file in una di queste cartelle, sei stato infettato da Ventir.

Purtroppo questo malware contiene anche una backdoor che potrebbe essere utilizzata per installare componenti aggiuntivi o apportare modifiche dannose al sistema, e quindi la rimozione non è così semplice come la rimozione dei file dannosi descritti nella relazione di Kaspersky.
Se siete infetti, potrebbe essere necessario cancellare il disco rigido, reinstallare il sistema e le applicazioni da zero e ripristinare solo i dati (nessun file di impostazioni, applicazioni , ecc) da un precedente backup sicuro.

Scarica Mackeeper l’antivirus pensato per il Mac!

Antivirus Mac comparativa

Download MacKeeper

Nuova backdoor iWorm infetta oltre 18mila Mac, come capire se si è infetti

I ricercatori di sicurezza hanno recentemente scoperto che più di 17.000 Mac in tutto il mondo sono stati infettati da una nuova minaccia  malware per OS X chiamata iWorm, che a un certo punto avrebbe utilizzato la famosa piattaforma Reddit.com o un board di server del seguitissimo gioco Minecraft come un tramite per  eseguire diverse azioni di sistema e eseguire script Lua.
Di cosa si tratta
Il nuovo malware è entrato nel database dei virus della società di ricerca russa Dr. Web come “Mac.BackDoor.iWorm”, ed è descritto come una complessa  backdoor con più scopi potenziali, in grado di emettere una serie di comandi da far eseguire da un host.
Tra le operazioni che il malware può effettuare ci sono la raccolta dei dati e il controllo remoto del sistema infettato.Dopo che iWorm si installa, crea un file di funzionamento, e apre una backdoor per richiedere un elenco di server di controllo e si collega, in attesa di ulteriori istruzioni.
Questo particolare malware fa uso del servizio di ricerca di Reddit.com per recuperare l’elenco dei server botnet, che fino a poco tempo fa era camuffato in un commento al post minecraftserverlists opure di C&C (Command & Control).La stringa Reddit da allora è stata fermata, ma i creatori di iWorm potranno probabilmente impostare un altro elenco dei server attraverso un servizio di ricerca alternativo che deve ancora essere scoperto.Una volta che iWorm si connette con un server di comando e controllo, la backdoor usa il linguaggio di programmazione Lua. In alternativa, i server collegati possono inviare più altro malware in grado di compromettere ulteriormente il Mac interessato.

Il Worm può raccogliere e inviare informazioni sensibili dell’utente, parametri impostati nel file di configurazione, eseguire le query GET, mettere un Mac in modalità sleep,  ed eseguire script Lua nidificati.
Mappa della diffusione
mappa-backdoor-iworm
Come controllare se si è infetti
Visto che il iWorm si estrae in una cartella su OS X, gli utenti possono controllare se il proprio Mac è stato infettato navigando perchè crea dei file in alcune cartelle. Dal menu trova di OS X digita Support/Library/Application/javaw e /Library/LaunchDaemons/com.JavaW.plist. Se OS X non riesce a trovare la cartella, il computer è pulito. Se si trova la cartella, invece, occorre utilizzare un programma antivirus per eliminare iWorm dal proprio disco rigido.
Il malware resta attivo in background caricando il bot JavaW ad ogni avvio del sistema tramite il file JavaW.plist.
Secondo l’ analisi statistica di Dr. Web del iWorm, il malware ha già infettato circa 18500 Mac in tutto il mondo a partire dal 26 settembre.
La preoccupazione per gli utenti Mac è la capacità di replicarsi del worm, e di avere diverse varianti con obiettivi specifici come mandare mail di spam oppure sottrarre credenziali Bitcoin.
***Aggiornamento***
La Apple ha rilasciato in tempi abbastanza brevi un aggiornamento di protezione delle definizioni di malware per  Xprotect, in questo modo i Mac sono al sicuro contro due diverse varianti di iWorm.
L’unico problema rimane il fatto che l’aggiornamento non viene segnalato agli utenti ma è fatto in modo automatico in backgroud. Se si vuole indagare la questione e vedere quali sono le definiìzioni di Xprotect, si può cercare il file XProtect.plist, come indicato in questa discussione sul forum della Apple.

Scarica Mackeeper l’antivirus pensato per il Mac!

Antivirus Mac comparativa

Download MacKeeper

Uno spyware backdoor colpisce il portatile di un attivista africano

Un laptop Mac di un attivista per i diritti umani in Angola è stato recentemente infettato da una versione dello spyware stealthy. La cosa curiosa sarebbe il fatto che il software dannoso utilizzaerebbe un ID Apple per infiltrarsi nel sistema.

La backdoor è programmata per prendere screenshot e inviarli a server remoti sotto il controllo degli hacker, ed è stata diffusa con una e-mail di phishing, secondo l’attivista per la sicurezza digitale Jacob Appelbaum. Quste mail fraudolente si presentano all’utente con il suo nome e cognome e sembrano provenire da qualcuno che si conosce. Addirittura le mail in genere discutono argomenti di cui le due persone hanno parlato precedentemente inserendosi del discorso. Il malware è stato mostrato durante un workshop sulla di libertà di parola e su come proteggere i loro dispositivi contro il controllo del governo.
L’attivista e altre persone hanno preso il virus Mac attraverso messaggi di posta elettronica che hanno copiato i contatti; una volta installato, il malware è programmato per catturare schermate, con l’obiettivo di rubare qualsiasi informazione che possa generare qualche beneficio economico.

Antivirus Mac comparativa

Le informazioni raccolte vengono inviate direttamente di conseguenza i malintenzionati potrebbero ottenere le password dei social network preferiti o codici di accesso ai conti bancari, quindi le possibilità di danno potenziale sono enormi.

Il malware sarebbe stato firmato con una ID Apple Developer valida permettendo di bypassare più facilmente la funzionalità Gatekeeper, che Apple ha introdotto nella versione Mountain Lion di OS X. La backdoor viene identificata come OSX/KitM.A ed è nuova.
L’ ID Apple è stato revocato ed i server utilizzati per ricevere i dati rubati da macchine infette è stato messo fuori gioco con una procesura di sinkholing.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper