Il malware più recente potrebbe presto attaccare Linux, il sistema operativo Mac
Secondo il rapporto, recentemente scoperto malware per il furto di informazioni di Windows collegato a un gruppo attivo tracciato come AridViper, ha spiegato che potrebbe essere utilizzato per infettare il sistema operativo Linux e Mac.
Il trojan originale chiamato PyMICROPSIA dall’Unità 42 è stato scoperto durante le indagini sull’attività di AridViper che ha anche rintracciato come Desert Falcon e APT-C-23. Un’organizzazione di cyberspie di lingua araba che focalizza i propri attacchi su obiettivi mediorientali almeno dal 2011.
AridViper opera principalmente fuori Palestina, Egitto e Turchia e la maggior parte delle vittime che hanno compromesso ha superato le 3000 nel 2015 [PDF]; secondo il Global Research and Analysis Team.
Nuovi vettori di attacco avviati all’interno del codice:
- PyMICROPSIA è un malware basato su python che prende di mira specificamente il sistema operativo basato su Windows. Cyber criminale usa pyInstaller generato binario. L’unità 42 ha anche scoperto frammenti di codice che il suo inventore sta potenzialmente lavorando per aggiungere il supporto multipiattaforma.
- È progettato principalmente per indirizzare il sistema operativo Windows, ma il codice contiene frammenti interessanti che controllano altri sistemi operativi come “posix” o “drawin” come unità 42.
- Potrebbe essere stato introdotto dagli sviluppatori del malware durante la copia di codice da altri progetti e potrebbe benissimo essere rimosso nella versione futura del torjan PyMICROPSIA.
Furto di dati e consegna di carichi utili aggiuntivi:
- L’unità 42 ha portato alla luce un lungo elenco di funzionalità durante l’analisi del malware trovato sul sistema compromesso e sul payload o sul download dal server di comando e controllo (C2) degli attaccanti mentre si tratta di PyMICROPSIA Trojan.
- L’elenco delle funzionalità di controllo e furto delle informazioni include il furto di dati, il controllo dei dispositivi e funzionalità aggiuntive di distribuzione del carico utile.
- PyMICROPSIA utilizza le librerie python per un’ampia gamma di scopi, che vanno dal furto di informazioni e file al processo di Windows, al file system e all’interazione del registro.
- La capacità di keylogging del Trojan implementata utilizzando l’API di stato GetAsynckey che fa parte di un singolo Payload che scarica dal server C2.
- Un payload scaricato viene utilizzato anche per aumentare la persistenza riducendo un collegamento .LNK nella cartella di avvio di Windows di sistema compromessa.