Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“DarthMiner”: malware per macOS con funzioni di backdoor e cryptominer

backdoor  cryptominer  DarthMiner   martedì, 11 dicembre 2018

I ricercatori di sicurezza di Malwarebytes hanno individuato un nuovo esemplare di malware per i sistemi Apple macOS, battezzato DarthMiner, che combina le funzionalità di due strumenti open source, la backdoor EmPyre e il cryptominer XMRig, per scopi malevoli.

Il malware viene distribuito sotto forma di un’app fraudolenta chiamata Adobe Zii. Si tratta in realtà di una falsa applicazione che richiama il nome dello strumento Adobe Zii Patcher, un piccolo tool per pirati informatici che permette di “sbloccare” le versioni di prova o scadute dei programmi scaricabili da Adobe Creative Cloud.

In figura vengono mostrate le due applicazioni a  confronto. Come si può notare, lo strumento Adobe Zii originale utilizza come icona il logo di Adobe Creative Cloud, mentre l’applicazione contenente il codice malevolo è caratterizzata dall’icona generica delle applet di Automator.

DarthMiner dropper

L’applicazione dropper di DarthMiner (a destra) (fonte: Malwarebytes)

L’app Adobe Zii malevola funziona in pratica come dropper. L’app lancia uno script di shell che a sua volta scarica ed esegue uno script Python e, successivamente, un’app chiamata sample.app.

L’app sample.app è semplicemente una versione funzionante di Adobe Zii ed ha il solo scopo di ingannare l’utente, facendogli credere di aver scaricato proprio il tool originale.

Lo script Python è a tutti gli effetti il secondo stadio del malware vero e proprio. Come prima cosa questo script verifica la presenza sul sistema dell’applicazione Little Snitch, un personal firewall molto usato in ambiente Mac. Se quest’app è installata, lo script termina l’esecuzione senza compiere ulteriori azioni.

In caso contrario, lo script apre una connessione cifrata verso un server di backend di EmPyre, in grado di inviare comandi arbitrari al computer infetto. Una volta aperta la backdoor, lo script riceve un comando che lo istruisce a scaricare ed eseguire un secondo script in “/private/tmp/uploadminer.sh” (terzo stadio).

Questo script scarica da un server remoto e installa gli altri componenti del malware (quarto stadio):

  • un launch agent chiamato com.proxy.initialize.plist che serve a mantenere la backdoor aperta ai successivi riavvii del sistema;
  • il cryptominer XMRig assieme ad un file di configurazione (config.json) in “/Users/Shared/”.
  • un secondo launch agent chiamato com.apple.rig.plist, allo scopo di mantenere la persistenza sul sistema di quest’ultimo componente.

Anche se l’esemplare analizzato da Malwarebytes sembra progettato unicamente per effettuare il mining di criptovalute sfruttando le risorse computazionali della macchina infetta, non è escluso che l’architettura costituita dalla backdoor EmPyre possa essere sfruttata per effettuare altre azioni malevole arbitrarie sui Mac attaccati e scaricare altri componenti.

Al momento, il tasso di rilevazione del dropper di DarthMiner (app Adobe Zii) da parte dei più diffusi antivirus risulta ancora piuttosto basso. Per evitare di cadere vittime di questo tipo di minaccia, si raccomanda agli utenti macOS di evitare di scaricare applicazioni di dubbia provenienza, software pirata o strumenti per aggirare le protezioni di applicazioni legittime, e di installare e mantenere aggiornata una soluzione antivirus sul proprio sistema.

Notizie correlate

“CookieMiner”: scoperto malware per il furto di criptovalute su sistemi macOS

1 febbraio 2019

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto il malware per macOS CookieMiner, progettato per "rubare" i cookie associati a siti Web per lo scambio di criptovalute.Leggi tutto

Il cryptominer KingMiner utilizza il 100% della CPU su server Microsoft

3 dicembre 2018

I ricercatori di sicurezza di Check Point hanno individuato un nuovo cryptominer, battezzato KingMiner, che prende di mira i server Microsoft Windows per estrarre Monero.Leggi tutto

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2.Leggi tutto