Un curioso malware per Mac ha agito sotto traccia per svariati anni

Leggi questo articolo grazie alle donazioni di Stefano Mariani, Flavio Vallenari.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Eccoci qua a parlare di un nuovo caso malware che ha coinvolto la piattaforma macOS. Il fatto che siano decisamente più rari che su Windows non significa purtroppo non esistano e pertanto va mantenuta alta la guardia. Soprattutto se, come il programma malevolo di cui tra poco parleremo, la sua esistenza passa pressoché inosservata per parecchio tempo agli occhi di coloro che dovrebbero prendere contromisure. Ma c'è anche una parziale spiegazione per questa calma nell'intervenire e più avanti nella lettura si capirà il perché.

La segnalazione è stata fatta ad Ars Technica dal ricercatore Patrick Wardle, nome tutt'altro che sconosciuto in ambito della sicurezza Mac (nel 2015 scoprì una grave vulnerabilità in Gatekeeper). Si tratterebbe in realtà della variante di un altro malware già noto, denominato Fruitfly e venuto alla ribalta alcuni mesi fa, prontamente bloccato da Apple dopo le prime segnalazioni pubbliche. Anche se è possibile si tratti in realtà del contrario: Fruitfly è stato attivo per poco più di due anni, mentre secondo Wardle l'oggetto della sua scoperta ha almeno 5 anni di "onorata" carriera alle spalle se non addirittura quasi una decade. Il comportamento? Quello tipico di molti malware odierni, ovvero catturare informazioni personali sull'utente, quanto digitato alla tastiera, screenshot e immagini dalla webcam iSight/FaceTime. Non sfuggono alle attenzioni neanche gli altri dispositivi collegati alla stessa rete del Mac. Si parla di oltre 400 computer infettati, una cifra tutto sommato contenuta, ma comunque da non prendere lo stesso sotto gamba.

L'analisi compiuta da Wardle ha però rivelato un lavoro tutt'altro che impeccabile, da parte dell'autore. Di solito i malware utilizzano varie tecniche per rendere la vita più complicata ai ricercatori di sicurezza: non è stato questo il caso, riuscendo ad ottenere con semplicità non solo le modalità di operazione ma pure i server cui comunica i dati raccolti. Uno risulta non più attivo, mentre l'altro sì e ciò ha permesso a Wardle sia di capire l'effettiva portata dell'attacco sia di consultare a sua volta le informazioni provenienti dalle vittime. Nulla di davvero sofisticato, quindi, il che l'ha indotto a definire questo malware più la probabile creazione di un adolescente annoiato che di un criminale informatico vero e proprio. Detto ciò, rimane poco accettabile la scarsa attenzione prestata tanto da Apple quanto dalle aziende di sicurezza, che solo ora hanno provveduto a bloccare il malware (Apple fa peraltro ancora riferimento generico a Fruitfly, senza distinzione di varianti). Che si tratti di una minaccia reale oppure di una mera ragazzata, non si deve mai sottovalutare nulla per principio. Dal punto di vista degli utenti, i consigli rimangono i soliti, ovvero un uso accurato del computer, macOS o Windows che abbia, tenendo d'occhio eventuali comportamenti anomali del sistema e il download di applicazioni e contenuti solo da fonti sicure.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.