Malware su Mac, Hacking Team colpisce ancora?

Alcuni ricercatori di sicurezza hanno scoperto un malware per Mac che confermerebbe il ritorno in attività del noto Hacking Team. Nonostante il furto di 400 GB di dati subito all’inizio di luglio 2015, la software house italiana ha infatti continuato lo sviluppo del suo tool di spionaggio venduto a diversi governi in tutto il mondo.

Il codice del malware è stato caricato su VirusTotal il 4 febbraio e, fino ad allora, nessun antivirus era in grado di rilevarlo (al momento viene identificato da 15 software). Pedro Vilaça, ricercatore di SentinelOne, ha scoperto che il sample è un “dropper” usato per installare altri software nel computer. In questo caso si tratta di una copia del Remote Control Systems (RCS), al quale sono stati apportati alcun miglioramenti. Patrick Wardle, esperto di sicurezza Mac di Synack, ha individuato la presenza di diversi trucchi che impediscono la rilevazione del codice.

In particolare, il dropper sfrutta il sistema di crittografia sviluppato da Apple per proteggere i contenuti dei file binari. Wardle è comunque riuscito ad accedere al codice, in quanto l’azienda di Cupertino utilizza una chiave hard-coded statica già nota agli esperti di reverse engineering. L’installer era tuttavia “confezionato” in un wrapper che limita il tipo di analisi.

Non è chiaro però come il malware arrivi sul computer. Probabilmente viene nascosto all’interno di un’applicazione legittima. Per controllare se il proprio Mac è stato infettato è sufficiente verificare la presenza del file Bs-V7qIU.cYL nella directory ~/Library/Preferences/8pHbqThW/. Al momento non è possibile affermare con certezza che il malware sia stato scritto da Hacking Team. È possibile che un altro gruppo abbia modificato il codice originario sottratto all’azienda italiana a luglio 2015.