Kaspersky ha seguito dall’agosto 2019 i movimenti di Milum, un Trojan dannoso utilizzato da WildPressure, un gruppo APT (Advanced Persistent Threat) attivo in Medio Oriente. Durante le indagini su uno dei suoi ultimi attacchi al settore industriale, i ricercatori di Kaspersky hanno scoperto che una delle versioni più recenti del malware è in grado di infettare ed essere eseguita sia su sistemi Windows che macOS.
Spesso, quando un Trojan infetta un dispositivo, il malware invia un beacon ai server degli attaccanti contenente informazioni sul dispositivo, impostazioni di rete, nome utente e altri dati rilevanti al fine di valutare quanto il dispositivo infetto possa essere interessante per gli attaccanti.
Nel caso di Milum, il malware ha anche inviato informazioni sul linguaggio di programmazione con cui è stato scritto. Durante la prima indagine svolta nel 2020, i ricercatori di Kaspersky sospettavano che ciò indicasse l’esistenza di diverse versioni di questo Trojan in diverse lingue, teoria che adesso è stata confermata.
Nella primavera del 2021, Kaspersky ha identificato un nuovo attacco di WildPressure effettuato con una serie di versioni più recenti di Milum. I file scoperti contenevano il Trojan Milum scritto in C++ e una corrispondente variante in Visual Basic Script (VBScript).
Ulteriori indagini su questo attacco hanno portato alla luce un’altra versione del malware scritta in Python e sviluppata per i sistemi operativi Windows e macOS. Tutte e tre le versioni del Trojan sono state in grado di scaricare ed eseguire comandi dall’operatore, raccogliere informazioni e aggiornarsi a una versione più recente.
I ricercatori sottolineano che è raro osservare un malware multipiattaforma in grado di infettare dispositivi con sistema macOS. Questo particolare esemplare comprende un pacchetto che include il malware, la libreria Python e uno script chiamato “Guard” che consente al malware di avviarsi sia su Windows che su macOS senza problemi.
Una volta infettato il dispositivo, il malware esegue il codice in base al sistema operativo per la persistenza e la raccolta dei dati. Su Windows, lo script è raggruppato in un file eseguibile con PyInstaller. Il Trojan Python è anche in grado di verificare se il dispositivo è dotato di soluzioni di sicurezza.
“Gli operatori di WildPressure hanno continuato ad avere interesse per la stessa area geografica. Gli autori del malware hanno sviluppato più versioni di Trojan simili e dispongono di un sistema di versioning. Il motivo alla base della creazione di malware simili in diverse lingue è molto probabilmente quello di ridurre la probabilità di rilevamento. Questa strategia non è inusuale tra gli attori APT, ma raramente vediamo un malware progettato per essere eseguito su due sistemi diversi contemporaneamente, anche sotto forma di script Python. Un’altra caratteristica interessante è che uno dei sistemi operativi presi di mira è macOS, un obiettivo inaspettato se consideriamo l’interesse geografico del soggetto”, ha commentato Denis Legezo, senior security researcher del team GReAT.
