סייבריזן חושפים חברה ישראלית מאחורי הקוד הזדוני PirritOSX

בדוח שפרסמה חברת Cybereason, היא פורסת את סיפורו המתמשך של הקוד הזדוני OSX.Pirrit, קוד מתקדם להצגת פרסומות במערכת ההפעלה OS X. הקוד אינו דומה לכלי הפרסום הזדוניים שבדרך כלל מציפים את הדפדפן במודעות. הוא מכיל רכיבים של עמידות ואת היכולת לקבל גישה ל-root – מרכיבים הדומים יותר לקוד זדוני מסוגים אחרים, כולל אפשרות לתקנת קילוגר או גניבת הרשאות.

עמית סרפר, חוקר החברה, קיבל עדכון בטוויטר כי קוד ההסרה שכתב עבור גרסה מוקדמת של pirrit הפסיק לעבוד.  העובדה שנוצרה גרסה חדשה ועמידה לקוד הפתיע אותו כי לאחר חקירה קודמת הופלו שרתי הפצה של הקוד. קבצי הגרסה החדשה היו קשים לפיצוח ונעשה מאמץ רב שלא להשאיר עקבות.

"אך כותבי הקוד ביצעו שגיאה קריטית שגרמה להתמוטטות של כל הפעילות כמו בית קלפים", כותב סרפר. "פורמט הארכיב tar.gz הוא Posix’ שמשמעותו שהוא שומר את כל מאפייני הקבצים (כגון בעלים והרשאות) בתוך הארכיב כפי שהם היו במחשב בו נוצר הארכיב. יכולתי לראות את שם המשתמש של האדם שיצר את הארכיב. האנשים שיצרו את הארכיב לא היו זהירים מספיק".

חיפוש בגוגל הוביל את סרפר ל- TargetingEdge, חברה ישראלית המתויגת כ"חברת שיווק מקוון". גם האתר וגם פרופיל הלינקדין של החברה לא מוסיף מידע לגבי מה החברה עושה בדיוק, אך מהפרטים שהיא מפזרת נשמע שהם מייצרים כלי דחיפת פרסום אגרסיביים הידוע בשם OSX.Pirrit.

ההפצה של הקוד הזדוני נעשתה במעטפת של תוכנות לגיטימיות כגון MPlayerX, NicePlayer and VLC, כאשר רכיב ההתקנה שלהם הוחלף ברכיב התקנה המכיל גם את Pirrit. התוכנות הופצו באתרי הורדות שונים.

"הגרסה החדשה הכילה 14 משתמשים נסתרים חדשים וכבר לא כללה קוד ווינדוז בינארי שהיה בגרסה המקורית. אני מניח שהם קראו את המחקר הראשון שלי לגבי OSX.Pirrit ועשו שינויים. בהינתן העובדה שהם לא ניקו את הארכיב, הם בטח מיהרו לעדכן את הקוד", כותב סרפר.

לסיכום הוא מתריע לא לזלזל בקוד מסוג Adware, על אף שמנהלי מחשוב נוטים לעשות זאת, מאחר שבעקבות כך העבריינים מתחילים להכניס בתוכם רכיבים זדוניים יותר.

עמית מוביל את מחקר OS X ולינוקס בסייבריזן, ומתמחה בחקר פירצות, low-level וקרנל, ניתוח קוד זדוני והנדסה הפוכה. לפני Cybereason, עמית עבד בפרויקטים ממשלתיים של אבטחת מידע במשך 9 שנים.

את הסיפור המלא ניתן למצוא באתר Cybereason