Crisis il malware super-multi-piattaforma

Crisis è un malware che attacca Windows desktop e mobile, MacOSX ma anche, e qui sta la sorprendente potenza e versatilità del codice, le macchine virtuali VMWare.

Tutto avrebbe origine dalla diffusione tramite tecniche di social engineering di un file jar (ma anche tramite le solite, amate, pericolose chiavette USB). Si presenta come AdobeFlashPlayer.jar e sembra firmato (fittiziamente) da VeriSign. Una volta lanciato questo file il sistema richiede, ovviamente, il permesso di eseguirlo; qui sta l'abilità del social engineer, consistente nel convincere l'utente (credi che ci vorrà molto?) a concederlo.

A questo punto il file jar si fà Giano: una testa entra in MacOsX e apre una bella backdoor; l'altra attacca Windows con straordinaria efficienza.schema-di-attacco-del-malware-crisis-by-symantec
Prima di tutto spegne l'antivirus presente sul pc; quindi prepara la replica di se stesso tramite l'ormai famoso autorun.inf, creato ad hoc sui dischi rimovibili collegati al pc.
Poi dirige la sua azione sul pc con sistema Windows; come nel caso del Mac, il malware si fa rootkit ed apre la sua backdoor.
Per fare cosa? Semplice: catturare tutti i tasti digitati sulla tastiera, la navigazione, la posizione del mouse nel momento in cui cliccate, il contenuto degli appunti, nonché registrare l'audio ripreso dal microfono e il video completo di ciò che passa sul tuo monitor; tutte informazioni che qualcun altro potrà usare per spiare chi sei, cosa fai, quanto hai in banca, con chi chatti, ecc... ed usare quei dati per farsi i fatti tuoi o prendersi una parte dei tuoi fondi.

Fin qui niente di speciale: lo fanno molti altri malware. Ma il meglio deve ancora arrivare.

Mentre inizia a fare incetta dei tuoi dati, il codice va alla ricerca di un dispositivo dotato di Windows Mobile e collegato via USB al pc. Insomma, avevi collegato lo smartphone per scaricare le foto o sincronizzare i dati? Bene, ora anche quello riceverà Crisis, sotto forma di modulo.

Potrebbe anche bastare per fare un applauso ai creativi di questo codice, ma non sembra gente che si accontenti facilmente. Per non lasciare in pace nessuno, il malware scansiona il disco alla ricerca di immagini di dischi VMWare. Attenzione: la macchina virtuale potrebbe anche essere spenta, tanto Crisis ci si inietta lo stesso. Questo perché non sfrutta exploit di VMWare, ma si copia direttamente nei file dei dischi virtuali. E lì, nel cuore del sistema virtuale, prosegue la sua attività.

Sembra essere il primo malware ad attaccare sistemi virtuali in modo così diretto. Sicuramente è il primo dotato di tale completezza. Un semplice jar che fa tutto sto casino: MacOsX, Windows desktop, Windows mobile, drive removibili, macchine virtuali; tutti attaccati in un solo colpo.
Un simile capolavoro non è certo opera di una sola mente, né tantomeno di qualche nerd; è più probabile che gruppi organizzati con ingenti fondi, quali le organizzazioni criminali o governative, possano implementare simili software.

Per ora, la buona notizia è che si sarebbe diffuso pochissimo e in pochi paesi (anche se tra questi c'è l'Italia). Una buona notizia a metà: la rende nota, infatti, il Kaspersky Lab. Ciò significa che la rilevazione viene fatta da sistemi dotati di antivirus e collegati alla rete di notifica di Kaspersky; potrebbero essere molti altri i sistemi infetti, dotati di antivirus non aggiornati o di vecchia concezione, oppure completamente sforniti.

Punto Informatico ne parla qui: http://ow.ly/drsQi

Symantec lo descrive qui: http://tinyurl.com/c2wm2el

Kaspersky a questo URL: http://tinyurl.com/cbd2mne