MShell Malware

È stato scoperto che i criminali informatici cinesi utilizzano una versione armata di un'applicazione di messaggistica come modo per implementare una minaccia backdoor chiamata RShell. La minaccia backdoor ha versioni per sistemi Linux e macOS. I dettagli sulle operazioni di attacco e sul malware RShell sono stati rilasciati nei rapporti dei ricercatori di sicurezza. Secondo loro, RShell fa parte del minaccioso arsenale del gruppo APT (Advanced Persistent Threat) tracciato come APT27 , LuckyMouse, IronTiger ed Emissary Panda. Questo particolare gruppo di criminalità informatica è attivo da oltre un decennio e si concentra principalmente sulle operazioni di spionaggio informatico.

Gli hacker hanno utilizzato una versione trojanizzata dell'applicazione di messaggistica Electron 'MìMì' ('mimi' - 秘秘 – 'segreto') pubblicizzata come disponibile per piattaforme Android, iOS, Windows e macOS. I ricercatori hanno scoperto una versione Linux, che fornisce anche il malware RShell. Quando viene attivata la versione corrotta di macOS MiMi, verifica prima se l'ambiente corrisponde ai parametri necessari: macOS (Darwin). Successivamente, recupererà un payload RShell dal suo server Command-and-Control (C2, C&C), lo scriverà nella cartella temporanea, gli concederà il permesso di esecuzione e infine lo eseguirà.

L'analisi di RShell ha rivelato che si tratta di una minaccia backdoor dotata delle caratteristiche tipiche associate a questo tipo di malware. I primi campioni scoperti da TrendMicro risalgono a giugno 2021. RShell viene fornito nel formato Mach-O su sistemi macOS ed ELF su piattaforme Linux. Quando viene attivata sul dispositivo della vittima, la minaccia raccoglierà varie informazioni di sistema, inclusi nome computer, indirizzo IP, nome utente, versione, ecc. Tutti i dati raccolti verranno compressi in un messaggio JSON binario e trasmessi al server C2 in una forma non crittografata tramite TCP. Gli attori delle minacce APT possono indicare a RShell di eseguire comandi nella shell, leggere file, elencare i file e le directory nel filesystem radice, scrivere dati su file specificati e altro ancora.