Una parte del codice analizzato da Kaspersky che ha portato alla scoperta della chiave di codifica a 32 bit usata dal malware.
Dopo l’attacco che in molti pensavano l’avrebbe stroncata, sono stati identificati una backdoor e un dropper per MacOsX firmati proprio dall’azienda milanese.
Il portavoce di Hacking Team lo aveva detto: “ci servirà del tempo, ma torneremo più forti di prima”. Adesso non sappiamo bene quanto siano “forti”, ma di sicuro sono tornati.
Alcuni ricercatori di sicurezza, tra i quali Patrick Wardle che ha pubblicato una interessante analisi, hanno scovato alcuni pezzi di malware che sono direttamente riconducibili all’azienda milanese e che sono stati compilati (a quanto pare) a ottobre del 2015, quindi alcuni mesi dopo l’attacco che era riuscito a sottrarre diversi giga di dati che sono poi stati rilasciati su Wikileaks e su altri canali del sottobosco di Internet.
La nuova backdoor ritrovata è stata progettata per funzionare sotto Mac OSX e si rivela piuttosto completa.
Può prendere degli screenshot, rubare informazioni di vario tipo da applicazioni, rubrica dei contatti e dal calendario; può spiare le vittime attivando webcam e microfono; può leggere i messaggi delle chat e copiare quanto presente nella clipboard, oltre ad ascoltare le chiamate.
Non mancano, poi, le funzioni più classiche come leggere email e altri tipi di messaggi (istantanei o da backup dello smartphone), così come rintracciare la posizione del dispositivo accedendo alle funzioni di geolocalizzazione.
Niente che molte altre backdoor non facciano altrettanto bene, ma qualche caratteristica speciale ce l’ha.
Secondo l’analisi pubblicata sul blog di Objective-See, l’installer del malware usa una tecnica di crittografia per rendere più difficile la sua identificazione.
