Mac OS X, scoperti tre nuovi malware
Si innalza il livello di allarme per la sicurezza dei sistemi Mac. Nei giorni scorsi sono infatti stati individuati tre differenti malware per il sistema operativo della Mela, che seguono il precedente caso di KeRanger osservato nel corso del mese di marzo.
Il primo malware, conosciuto con il nomignolo di Eleanor, è stato scoperto dai ricercatori di Bitdefender ed è nascosto all’interno di EasyDoc Converter, un’app civetta che è stata disponibile sul sito MacUpdate. Quando EasyDoc viene avviato, installa in maniera del tutto inosservata una backdoor che mette a disposizione un accesso remoto al filesystem del sistema e alla webcam, rendendo possibile rendendo possibile all’attaccante che opera il controllo da remoto di scaricare file, installare nuove app e osservare l’utente dinnanzi alla macchina infetta. Eleanor comunica con il server di command and control tramite Tor, per evitare l’individuazione o la neutralizzazione del server stesso.
Tiberius Axinte, responsabile tecnico di Bitdefender Antimalware Lab, spiega: Questo tipo di malware è particolarmente pericoloso dato che è difficile da individuare ed offre all’attaccante il pieno controllo del sistema compromesso. Per esempio un attaccante può interdire l’uso del sistema, chiedere un riscatto per ripristinarne l’utilizzo o trasformare il sistema in una botnet per attaccare altri dispositivi”.
I ricercatori della società di sicurezza Malwarebytes hanno comunque osservato che Eleanor non si installa se individua la presenza di Little Snitch sul sistema, un firewall che monitora e controlla l’accesso ad internet delle varie applicazioni.
La seconda minaccia si chiama Keydnap ed ha la funzione di raccogliere password e chiavi crittogrfiche conservate nel portachiavi di Mac Os X. Lo sviluppatore ha apertamente recuperato il codice da Keychaindump, una app proof-of-concept che può sottrarre il contenuto del portachiavi quando un attaccante conosce la password del sistema. Il malware è stato individuato da Eset, che osserva come esso faccia uso di un meccanismo interessante per aumentare le probabilità di essere installato.
Il malware è infatti inserito all’interno di un archivio compresso: quando l’archivio viene scompattato nella forma di un eseguibile Mach-O (eseguibile che può non avere una estensione) che viene opportunamente agghindato per sembrare un documento di testo o un’immagine. Un doppio click sul file permette la sua esecuzione all’interno di una finestra del terminale. Attualmente non è ancora chiaro come Keydnap venga distribuito, probabilmente all’interno di mail di spam o come download da fonti non sicure. Al pari di Eleanor, Keydnap fa uso di Tor per occultare le proprie comunicazioni con il server di command and control.
La terza minaccia è invece tecnicamente classificabile come adware, perché attualmente non compie nulla di più che aprire una valanga di pop-up pubblicitari sulla macchina che infetta. Il nome dell’adware è Pirrit, scoperto da Cybereason, e pare essere una variante di un app dannosa già scoperta in precedenza. In realtà Pirrit installa anche una backdoor che permette, almeno potenzialmente, al suo sviluppatore di prendere il controllo della macchina e sottrarre informazioni o compiere altre azioni dolose.
Quel che è interessante osservare è che nessuna delle nuove minacce è firmata da certificati Apple-trusted. Ciò significa che gli utenti che fanno uso delle impostazioni di default di OS X sono automaticamente protetti grazie alla funzionalità chiamata Gatekeeper. Sebbene esistano modi relativamente semplici con cui gli attaccanti possono neutralizzare le protezioni offerte da Gatekeeper, questa funzionalità offre un primo livello di sicurezza che può abbassare in maniera significativa le probabilità di compromissione di un sistema Mac. (fonte)
