Video: Come scovare e rimuovere i Malware dal vostro Mac! (Novembre 2024)
I ricercatori hanno scoperto malware progettati per spiare gli utenti sul Mac di un attivista angolano.
Il ricercatore indipendente di sicurezza Jacob Appelbaum ha scoperto la nuova backdoor precedentemente sconosciuta sul Mac dell'attivista mentre al Oslo Freedom Forum, Appelbaum ha scritto su Twitter. Ha scoperto una seconda variante sul computer di un altro attivista poco dopo.
"Sembra essere un nuovissimo malware con un comportamento completamente nuovo", ha detto Bogdan Botezatu di BitDefender a SecurityWatch .
Almeno nel caso del primo attacco, l'attivista è stato vittima di un attacco di spear phishing in cui è stato attirato a scaricare e installare il malware mentre era collegato al Mac, ha detto Botezatu.
Cosa fa il malware
L'applicazione backdoor sembra catturare schermate del computer dell'utente e memorizzarle in una cartella nella home directory dell'utente chiamata MacApp, ha scritto Sean Sullivan di F-Secure sul blog dell'azienda. I ricercatori di F-Secure sospettano che sia stato sviluppato commercialmente, Sullivan ha detto a SecurityWatch .
Una volta installata, l'applicazione si è aggiunta all'elenco degli elementi di accesso dell'utente corrente, un elenco di applicazioni che vengono eseguite automaticamente quando l'utente accede al Mac. Il malware ha caricato gli screenshot su due server di comando e controllo, uno nei Paesi Bassi e l'altro in Francia.
Lo scopo principale del server di comando e controllo è quello di raccogliere tutti gli screenshot, ma memorizza anche i nomi host e informazioni aggiuntive sulle macchine infette, ha affermato Botezatu. I ricercatori di BitDefender hanno scoperto che la seconda variante della backdoor per Mac comunicava anche con un server in Romania per scaricare payload e componenti aggiuntivi.
È possibile che questo server funga da fallback per i criminali se gli altri server vengono sospesi, ha affermato Botezatu.
Mentre il malware stesso era "non sofisticato", era ancora in grado di raccogliere informazioni sulle attività dell'utente su quel computer "senza fare troppo rumore", ha detto Botezatu.
L'ID Apple è stato rubato?
Il malware è stato firmato con un ID sviluppatore Apple valido, il che significa che non sarebbe stato rilevato dalla funzionalità Gatekeeper in Mac OS X. Apple ha introdotto Gatekeeper, che impedisce l'esecuzione di applicazioni non firmate scaricate da Internet, in Mac OS X Mountain Lion e Lion v10.7.5 l'anno scorso. BitDefender ritiene che questo sia il primo pezzo di malware per Mac firmato digitalmente con un ID Apple legittimo.
Al momento non è noto se la chiave sia stata rubata da uno sviluppatore legittimo o se lo sviluppatore di malware abbia indotto Apple a generare l'ID. Considerando che il nome è simile a una famosa stella di Bollywood scomparsa di recente, è probabile che lo sviluppatore abbia creato un'identità falsa come parte del processo di candidatura, ha affermato Botezatu.
Gli utenti possono guardare nelle loro directory home per vedere se esiste una cartella MacApp per capire se sono state infette.
Mentre il malware era "zoppo" da quando è stato facilmente rilevato, era ancora "mortale", ha detto Appelbaum. "Il problema è che l'autore è stato abbastanza bravo da mettere qualcuno in pericolo mortale", ha scritto Appelbaum su Twitter.