Molti utilizzatori di MacOS credono di essere al sicuro da attacchi hacker, e non si preoccupano di essere infettati. Anche se i malware MacOS sono meno evoluti rispetto i malware Windows per quanto riguarda complessità, numero di infezioni e altro ancora, col passare del tempo gli attacchi stanno diventando sempre più sofisticati.
Check Point Software Technologies ha raccolto tutti i malware MacOS noti, classificandoli in un’unica libreria per spiegare il funzionamento di ognuno.
Dato che il gran numero di utenti Mac è un grande incentivo per gli hacker che cercano di ampliare il loro terreno di attacco, nei prossimi anni vedremo per MacOS lo stesso andamento che abbiamo visto per Windows.
Per questo motivo un vendor come Check Point Software Technologies ha ritenuto valido classificarli. Tra i vari malware presenti nella libreria, Pierluigi Torriani, Security Engineering Manager Italy di Check Point Software Technologies, ne individua due tra i più interessanti e pericolosi, che possono già aver colpito molti utenti:
- CreativeUpdate: si tratta di un Cryptominer ufficialmente segnalato per la prima volta il 1° febbraio 2018. Un utente che naviga sul sito MacUpdate può trovare software interessante e scaricarlo regolarmente. Peccato però che fra i software infetti vi potrebbero essere anche Firefox, OnyX e Deeper. È stato scoperto, infatti, che il link di download sul sito MacUpdate era stato modificato, in modo da puntare ad un URL controllato da un hacker che forniva il malware. La falsa applicazione di Firefox è stata distribuita da download-installer.cdn-mozilla.net. Il dominio termina in cdn-mozilla.net, che non è sicuramente lo stesso di mozilla.net; questo è un tipico trucco che porta l’utente a pensare che provenga dal sito legittimo. Pertanto, invece della legittima applicazione di Firefox, una versione trojan veniva fornita all’utente con tanto di firma dello sviluppatore e certificato originale dell’applicazione legittima di Firefox. Analizzandola ulteriormente si conferma che la firma digitale è legittima e risulta proprio firmata da Mozilla. In sostanza, il malware eseguiva l’applicazione legittima di Firefox affinché l’utente non sospettasse di nessuna operazione malevola. Quello che fa riflettere è la modalità utilizzata, ingannando l’utente, sfruttando un’applicazione legittima e piuttosto popolare con inserito del codice malevolo. Inoltre, non è la complessità dell’operazione, e nemmeno l’insidiosità del malware, ma l’utilizzo di un sito come MacUpdate come vettore d’infezione significa puntare ad infettare un gran numero di utenti. Qual era l’obiettivo del malware? Semplicemente generare criptovalute e connettersi al sito minergate.com, il che conferma il trend in atto delle infezioni da criptominer.
- Flashback: per la prima volta scoperto nel 2011, fa parte delle categorie trojan/backdoor. Si tratta di uno dei malware più interessanti per MacOS, a causa del gran numero di infezioni e delle tecniche che utilizza. Flashback è probabilmente il primo malware ad ampia diffusione su MacOS, con oltre 500mila infezioni. Il malware si diffonde, camuffandosi sotto un aggiornamento Adobe Flash o come un’applet firmata java, che utilizza un exploit per installare automaticamente il malware senza che l’utente ne sia a conoscenza. Una delle cose più interessanti di questo malware è che si offusca da solo dopo l’infezione, quindi l’eseguibile non verrà eseguito correttamente su un’altra macchina eccetto quella su cui è stato iniettato in precedenza. Ciò avviene crittografando la struttura dei dati con l’UUID della macchina ed algoritmo di cifratura RC4. Il malware utilizza anche DGA, un algoritmo di generazione del dominio, basato sulla data per rendere più difficile l’identificazione dei suoi server C&C. In questo modo, il malware genera quotidianamente diversi indirizzi di comunicazione remoti. Un’altra cosa interessante di questo malware è che utilizza Twitter come metodo per inviare comandi al malware da parte dall’attaccante.