CrescentCore, il malware per Mac che ha provato ad essere "smart" per beffare i ricercatori di sicurezza

Le news degli ultimi giorni sono state, e continuano ad essere, dominate dalle notizie societarie di Apple con l'imminente fuoriuscita di Ive. Nel frattempo, però, si stanno intensificando le segnalazioni riguardanti a malware per macOS in azione. Come spesso abbiamo ripetuto, il fatto che ci siano pochi programmi malevoli per il sistema operativo Apple rispetto alla moltitudine per Windows, in virtù dei notevolmente diversi bacini di potenziali vittime, non significa che non sussista alcun rischio. Occorre sempre tenere un occhio aperto a ciò che si fa sul Mac e soprattutto a cosa si scarica dalla rete, perché purtroppo le cattive sorprese possono essere dietro l'angolo. La più recente, che sta tenendo banco proprio in queste ore, è CrescentCore, un malware che ha presentato alcune spiccate capacità di mimetizzazione.

Scoperto dai ricercatori di Intego, CrescentCore è stato rinvenuto presso parecchi siti di dubbia qualità ed affidabilità, dove nonostante la penalizzazione attuata da Google nei risultati di ricerca è possibile che qualche malcapitato ci finisca inconsapevolmente, soprattutto se cerca di ottenere in forma gratuita materiale protetto da copyright. Da un certo punto di vista, questo trojan non è poi così innovativo: come tanti altri simili su Mac, si spaccia per un installer del Flash Player di Adobe, mascherandosi in modo opportuno con icone ed altri dettagli grafici che possono trarre in inganno e farlo scambiare per il prodotto ufficiale. Una volta aperto il file dmg e avviato il pacchetto d'installazione al suo interno, inizia l'infezione del computer. A seconda della variante, essendocene più di una in circolazione, potrebbe pure installare ulteriori software maligni.

Dove si trova, allora, la sua innovazione? Gli autori di CrescentCore hanno posto particolare attenzione a rimanere sotto i radar per il maggiore tempo possibile. Molti ricercatori di sicurezza tendono ad effettuare le loro ricerche all'interno di macchine virtuali, come quelle di Parallels o VMware, poiché permettono di testare i malware ed eventuali tecniche di mitigazione e rimozione mantenendo in tutta sicurezza il sistema operativo principale. All'apertura, il trojan qui in esame cerca di rilevare se si trova all'interno di una macchina virtuale e in caso affermativo non procede ad installarsi nel Mac. Stesso discorso in presenza di un antivirus, la cui euristica potrebbe rilevare azioni sospette facendo scattare l'allarme. Solo se le condizioni sono favorevoli CrescentCore installa i componenti necessari al suo funzionamento. A complicare ulteriormente il lavoro dei ricercatori, i malintenzionati sono anche stati bravi a mascherare i codici HTML/JavaScript delle pagine web modificate per distribuire il malware, rendendo difficile notare il redirect per scaricarlo. Si può dunque immaginare per quanto sia riuscito a proliferare indisturbato.

Un altro accorgimento, questo però più comune agli altri malware, è l'utilizzo di un ID sviluppatore convalidato da Apple, a nome Sanela Lovic. Questo trucco purtroppo permette di abbassare l'aggressività di GateKeeper, che in presenza di una firma digitale riconosciuta non inibisce l'apertura dell'app. Intego ha già inoltrato le dovute segnalazioni ad Apple per disattivare quanto prima l'ID incriminato, ma è probabile che ne siano stati già convalidati altri per riprendere la diffusione di CrescentCore. Un sistema infetto dalla variante più diffusa del trojan può essere riconosciuto in presenza di uno o più dei seguenti elementi nella Libreria di macOS:

/Library/com.apple.spotlight.Core
/Library/Application Support/com.apple.spotlight.Core
/Library/LaunchAgents/com.google.keystone.plist
com.player.lights.extensions.appex

I principali antimalware, a partire da quello di Intego, sono in fase di aggiornamento e sicuramente lo sarà a breve pure la protezione integrata di macOS, ripulendo da CrescentCore i computer delle vittime. Ma si tratta di un'ennesima puntata del continuo "guardie e ladri" che mette in sfida Apple e le aziende di sicurezza contro gli sviluppatori di malware, motivo per cui non si potrà mai abbassare la guardia. La notizia positiva è che la situazione può tranquillamente essere mantenuta sotto controllo senza troppi sforzi: ancor prima di un antivirus, il buonsenso nell'uso di qualsiasi dispositivo elettronico, Mac o PC Windows che sia, resta sempre la migliore arma di difesa per ridurre quanto più possibile all'origine il rischio d'incappare in spiacevoli situazioni del genere.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.