Il noto Trojan Flashfake che ha aiutato a realizzare una botnet composta da oltre 700 mila Mac, può essere considerato il più importante esempio di vulnerabilità per sistemi Mac OS X, ma non è sicuramente l’unico
I ricercatori di Kaspersky Lab hanno scoperto un altro programma nocivo che colpisce i computer Apple, che è stato successivamente confermato come Advanced Persistent Threat. A differenza del Trojan Flashfake, che ha portato alla luce i potenziali pericoli di un ambiente Mac OS X non protetto, il nuovo malware, conosciuto con il nome di Backdoor.OSX.SabPub.a, è l’esempio di come un computer Apple vulnerabile possa essere completamente controllato da cyber criminali.
La nuova backdoor è stata rilevata per la prima volta nell’aprile del 2012. Similarmente a Flashfake, ha sfruttato alcune vulnerabilità della Java Virtual Machine. Il numero di utenti infettati da questo malware è relativamente basso, indice di un utilizzo di questa backdoor per attacchi mirati. Dopo l’attivazione su di un sistema infettato, questo si connette ad un sito web remoto per ottenere istruzioni. Il server di comando e controllo era situato negli Stati Uniti e utilizzava un servizio gratuito di DNS dinamico per inoltrare le richieste dei computer infetti.
I successivi eventi hanno poi confermato la teoria iniziale che SabPub facesse parte di un attacco mirato. Gli esperti di Kaspersky Lab hanno preparato una falsa macchina vittima, infettata dalla backdoor ed il 15 aprile hanno rilevato un’attività sospetta. I cyber criminali hanno preso il controllo del sistema infetto ed hanno iniziato ad analizzarlo, inviando comandi per visualizzare i contenuti delle cartelle root e home, scaricando inoltre alcuni documenti falsi archiviati all’interno del sistema. Questa attività di analisi era quasi certamente manuale e non utilizzava sistemi automatizzati, cosa atipica nel caso di malware ad ampia diffusione. Quindi, si può affermare con certezza che questa backdoor è un esempio di utilizzo attivo di una Advanced Persistent Threat.
Nel corso dell’analisi della backdoor, sono emersi ulteriori dettagli riguardo il vettore di infezione dell’attacco mirato. Gli esperti di Kaspersky Lab hanno rilevato sei documenti Microsoft Word contenenti l’exploit. Due di questi hanno scaricato nel sistema il SabPub. Il tentativo di aprire gli altri quattro documenti su un sistema vulnerabile ha portato all’infezione con un altro malware specifico per Mac. I contenuti di uno dei documenti legati al SabPub conteneva riferimenti alla comunità tibetana. Allo stesso tempo, il collegamento tra SabPub ed un altro attacco mirato per macchine Windows, conosciuto con il nome di LuckyCat, ha evidenziato lo stesso punto di origine per differenti attività criminali.
Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha commentato: “La backdoor SabPub dimostra ancora una volta che non esistono ambienti software senza vulnerabilità. Il numero relativamente basso di malware per Mac OS X non è indice di una maggiore sicurezza di questi sistemi. I recenti casi quali Flashfake e SabPub dimostrano che anche i dati personali di utenti Mac non protetti sono a rischio, forse perché i cyber-criminali hanno compreso la crescente quota di mercato di questi sistemi oppure perché vengono assoldati per attaccare specificatamente i computer Apple”.