27 febbraio 2015

Gli specialisti Doctor Web hanno esaminato una nuova versione del trojan-backdoor per il sistema operativo Mac OS X, denominato Mac.BackDoor.OpinionSpy.3. Questo programma malevolo è progettato per lo spionaggio sui computer Mac: può raccogliere e trasmettere ai malintenzionati le informazioni circa le pagine web che vengono aperte nel browser, analizzare dati trasmessi attraverso la scheda di rete del computer, intercettare pacchetti di rete inviati da applicazioni di messaggistica istantanea ed eseguire alcune altre funzioni pericolose.

La famiglia dei trojan Mac.BackDoor.OpinionSpy è conosciuta dagli specialisti della sicurezza informatica a partire dal 2010, però di recente al laboratorio antivirus Doctor Web è giunta una nuova copia di questo programma malevolo. Questa versione del backdoor è stata denominata Mac.BackDoor.OpinionSpy.3.

Per insediarsi sul computer, il Mac.BackDoor.OpinionSpy.3 utilizza uno schema a tre livelli. Su vari siti web che offrono software per Mac OS X compaiono programmi apparentemente innocui che includono però un file insicuro, “poinstall”, che viene avviato nel corso dell’installazione di tali programmi. Se durante l’installazione dell’applicazione scaricata da tale sito, l’utente accetta di concedere al programma i privilegi di amministratore, il file “poinstall” invia una serie di query POST sul server dei malintenzionati e in cambio ottiene un link al download di un pacchetto con l’estensione .osa, dentro di cui si trova un archivio ZIP. “Рoinstall” decomprime l’archivio, estraendo il file eseguibile PremierOpinion e un file XML con i dati di configurazione necessari per il suo funzionamento, dopodiché avvia questo programma.

Una volta avviato sul Mac attaccato, anche PremierOpinion si connette al server di controllo ed ottiene un link al download di un altro pacchetto .osa, da cui viene estratta ed eseguita la completa applicazione che ha lo stesso nome — PremierOpinion. Quest’applicazione contiene diversi file eseguibili: il programma stesso PremierOpinion che non ha alcune funzioni dannose e il backdoor PremierOpinionD che realizza le funzioni pericolose per gli utenti di Mac OS X.

Il trojan ottiene i privilegi di amministratore durante l’installazione e funziona nel sistema con tali privilegi. Se nella fase iniziale dell’installazione nella finestra dell’installer viene selezionata l’opzione “I Disagree”, sul computer viene installato soltanto il programma che l’utente effettivamente ha scaricato dalla rete senza alcuni componenti spia.

Se l’utente seleziona l’opzione “I Agree”, oltre al programma scaricato, sul computer viene anche installato PremierOpinion, la cui icona compare nella barra dei comandi e nella lista delle applicazioni installate.

L’interfaccia del programma PremierOpinion è molto succinta.

Quando si clicca sull’icona del programma nella barra dei comandi, viene avviato il browser, nella cui finestra si apre una pagina web con la descrizione del programma PremierOpinion classificato come un’utility per ricerche di mercato. Sul sito dello sviluppatore però non viene comunicato che il programma raccoglie e trasmette su un server remoto le informazioni circa il computer Apple su cui funziona.

Secondo gli sviluppatori, il programma PremierOpinion segue la cronologia degli acquisti dell’utente e di volta in volta gli offre di partecipare a una ricerca di mercato per cui l’utente dovrebbe rispondere a qualche domanda di un questionario. In realtà, le funzioni di Mac.BackDoor.OpinionSpy.3 sono molto più ampie rispetto a quanto dichiarato e vengono determinate dai file di configurazione ottenuti dal server di controllo. Il trojan si installa nella cartella /Library/LaunchDaemons/ e grazie a questo assicura la propria esecuzione automatica in caso se il programma si blocca o il sistema operativo viene riavviato. In seguito, il Mac.BackDoor.OpinionSpy.3 installa nei browser Google Chrome e Mozilla Firefox un’estensione che segue le attività dell’utente e trasmette sul server di controllo le informazioni circa i siti web visitati (i dati vengono raccolti secondo un set di regole), circa le schede che vengono aperte e circa i link su cui l’utente passa. Inoltre, il Mac.BackDoor.OpinionSpy.3 incorpora la sua libreria nei processi dei browser e dell’applicazione iChat in modo da intercettare alcune funzioni dell’utilizzo della rete, nonché esegue il monitoraggio dei dati trasmessi attraverso la scheda di rete del computer Apple. Su tutte le interfacce Ethernet disponibili, il trojan spia pacchetti HTTTP e il traffico dati dei client di messaggistica istantanea (Microsoft Messenger, Yahoo! Messenger, AIM, iChat), il traffico RTMP. Un modulo separato del trojan consente di eseguire una scansione del disco rigido e di tutti i supporti montati nel sistema, di cercare file secondo una regola impostata dagli scrittori dei virus e di inviare le informazioni su file trovati su un server remoto. Inoltre, il trojan invia ai malintenzionati le informazioni su computer compromesso, inclusa la configurazione hardware, una lista dei processi in esecuzione ecc. Il trojan è capace di installare i suoi aggiornamenti indipendentemente dall’utente, scaricandoli dal server di controllo. Dovrebbe essere notato che nel browser Safari il Mac.BackDoor.OpinionSpy.3 disturba il funzionamento del modulo di localizzazione.

Quando il trojan scambia dati con il server di controllo, cripta una parte dei dati e trasmette altri dati in chiaro. Tra le altre cose, il Mac.BackDoor.OpinionSpy.3 può raccogliere e trasmettere ai malintenzionati le informazioni su video file guardati dall’utente.

La firma antivirale di questo programma malevolo è stata aggiunta ai database dei virus Dr.Web. Agli utenti dei computer Mac OS X si consiglia di essere attenti quando scaricano applicazioni da Internet.