Il malware più recente potrebbe presto attaccare Linux, il sistema operativo Mac

Secondo il rapporto, recentemente scoperto malware per il furto di informazioni di Windows collegato a un gruppo attivo tracciato come AridViper, ha spiegato che potrebbe essere utilizzato per infettare il sistema operativo Linux e Mac.

Il trojan originale chiamato PyMICROPSIA dall’Unità 42 è stato scoperto durante le indagini sull’attività di AridViper che ha anche rintracciato come Desert Falcon e APT-C-23. Un’organizzazione di cyberspie di lingua araba che focalizza i propri attacchi su obiettivi mediorientali almeno dal 2011.

AridViper opera principalmente fuori Palestina, Egitto e Turchia e la maggior parte delle vittime che hanno compromesso ha superato le 3000 nel 2015 [PDF]; secondo il Global Research and Analysis Team.

Nuovi vettori di attacco avviati all’interno del codice:

  • PyMICROPSIA è un malware basato su python che prende di mira specificamente il sistema operativo basato su Windows. Cyber ​​criminale usa pyInstaller generato binario. L’unità 42 ha anche scoperto frammenti di codice che il suo inventore sta potenzialmente lavorando per aggiungere il supporto multipiattaforma.
  • È progettato principalmente per indirizzare il sistema operativo Windows, ma il codice contiene frammenti interessanti che controllano altri sistemi operativi come “posix” o “drawin” come unità 42.
  • Potrebbe essere stato introdotto dagli sviluppatori del malware durante la copia di codice da altri progetti e potrebbe benissimo essere rimosso nella versione futura del torjan PyMICROPSIA.

Furto di dati e consegna di carichi utili aggiuntivi:

  • L’unità 42 ha portato alla luce un lungo elenco di funzionalità durante l’analisi del malware trovato sul sistema compromesso e sul payload o sul download dal server di comando e controllo (C2) degli attaccanti mentre si tratta di PyMICROPSIA Trojan.
  • L’elenco delle funzionalità di controllo e furto delle informazioni include il furto di dati, il controllo dei dispositivi e funzionalità aggiuntive di distribuzione del carico utile.
  • PyMICROPSIA utilizza le librerie python per un’ampia gamma di scopi, che vanno dal furto di informazioni e file al processo di Windows, al file system e all’interazione del registro.
  • La capacità di keylogging del Trojan implementata utilizzando l’API di stato GetAsynckey che fa parte di un singolo Payload che scarica dal server C2.
  • Un payload scaricato viene utilizzato anche per aumentare la persistenza riducendo un collegamento .LNK nella cartella di avvio di Windows di sistema compromessa.