Eccoci qua a parlare di un nuovo caso malware che ha coinvolto la piattaforma macOS. Il fatto che siano decisamente più rari che su Windows non significa purtroppo non esistano e pertanto va mantenuta alta la guardia. Soprattutto se, come il programma malevolo di cui tra poco parleremo, la sua esistenza passa pressoché inosservata per parecchio tempo agli occhi di coloro che dovrebbero prendere contromisure. Ma c’è anche una parziale spiegazione per questa calma nell’intervenire e più avanti nella lettura si capirà il perché.
La segnalazione è stata fatta ad Ars Technica dal ricercatore Patrick Wardle, nome tutt’altro che sconosciuto in ambito della sicurezza Mac (nel 2015 scoprì una grave vulnerabilità in Gatekeeper). Si tratterebbe in realtà della variante di un altro malware già noto, denominato Fruitfly e venuto alla ribalta alcuni mesi fa, prontamente bloccato da Apple dopo le prime segnalazioni pubbliche. Anche se è possibile si tratti in realtà del contrario: Fruitfly è stato attivo per poco più di due anni, mentre secondo Wardle l’oggetto della sua scoperta ha almeno 5 anni di “onorata” carriera alle spalle se non addirittura quasi una decade. Il comportamento? Quello tipico di molti malware odierni, ovvero catturare informazioni personali sull’utente, quanto digitato alla tastiera, screenshot e immagini dalla webcam iSight/FaceTime. Non sfuggono alle attenzioni neanche gli altri dispositivi collegati alla stessa rete del Mac. Si parla di oltre 400 computer infettati, una cifra tutto sommato contenuta, ma comunque da non prendere lo stesso sotto gamba.
L’analisi compiuta da Wardle ha però rivelato un lavoro tutt’altro che impeccabile, da parte dell’autore. Di solito i malware utilizzano varie tecniche per rendere la vita più complicata ai ricercatori di sicurezza: non è stato questo il caso, riuscendo ad ottenere con semplicità non solo le modalità di operazione ma pure i server cui comunica i dati raccolti. Uno risulta non più attivo, mentre l’altro sì e ciò ha permesso a Wardle sia di capire l’effettiva portata dell’attacco sia di consultare a sua volta le informazioni provenienti dalle vittime. Nulla di davvero sofisticato, quindi, il che l’ha indotto a definire questo malware più la probabile creazione di un adolescente annoiato che di un criminale informatico vero e proprio. Detto ciò, rimane poco accettabile la scarsa attenzione prestata tanto da Apple quanto dalle aziende di sicurezza, che solo ora hanno provveduto a bloccare il malware (Apple fa peraltro ancora riferimento generico a Fruitfly, senza distinzione di varianti). Che si tratti di una minaccia reale oppure di una mera ragazzata, non si deve mai sottovalutare nulla per principio. Dal punto di vista degli utenti, i consigli rimangono i soliti, ovvero un uso accurato del computer, macOS o Windows che abbia, tenendo d’occhio eventuali comportamenti anomali del sistema e il download di applicazioni e contenuti solo da fonti sicure.