Con un sistema operativo sigillato ermeticamente, che consente il download di app e programmi solo dall’App Store ufficiale, Apple si è assicurata la fama di inespugnabilità con la quale tutti la conosciamo. Ha costruito delle mura difensive potenti che l’hanno posta al sicuro da virus e malware. Ma in fondo anche Troia era conosciuta per le alte e inespugnabili mura, costruite dagli dei in persona. Poi… poi è arrivato il Cavallo. E il Cavallo nel caso di Apple prende il nome di MAC.OSX.AMCleanerCA, un malware, o per meglio dire uno scamware, che nell’ultimo anno ha visto una forte diffusione nei sistemi Mac, assicurandosi il sesto posto nella classifica dei malware più diffusi rilasciata da WatchGuard nel suo Internet Security Report 2018.
Con MAC.OSX.AMCleanerCA è l’antivirus a nascondere il malware
È proprio vero che non ci si può più fidare di niente e di nessuno: anche un antivirus può vestire panni ingannevoli e celare un pericolo, in una sorta di metattacco digitale. È il caso di MAC.OSX.AMCleanerCA, la minaccia che ha trovato diffusione capillare nei dispositivi Apple e nei sistemi Mac. Secondo la classifica del terzo trimestre del 2018 proposta nell’Internet Security Report di WatchGuard, infatti, l’influenza di MAC.OSX.AMCleanerCA su questi sistemi operativi sarebbe aumentata notevolmente nell’ultimo anno, portando il malware a piazzarsi al sesto posto, con un’incidenza del 37,2% in APAC, del 38,9% in EMES e del 23,8% in AMERS (rispettivamente Russia, Far East&Australia; Europe and Middle East&Africa; North and South America, secondo la suddivisione di CNH Industrial N.V.).
Ma di cosa si tratta nello specifico? Partiamo dal dire cosa non è: non si tratta di un virus, in quanto non è in grado di installarsi autonomamente sul pc. Questo significa anche che non c’è rischio di autoreplica e di diffusione incontrollata. Non è nemmeno un malware in senso stretto: questo tipo di agenti, infatti, danneggiano materialmente il sistema operativo. Nel caso di MAC.OSX.AMCleanerCA parliamo più di uno scamware (o scareware), ovvero un programma o un’applicazione che viene installato dall’utente per un preciso scopo, al quale però non adempie, svolgendo invece una funzione diversa e in qualche modo dannosa. Per quanto riguarda il caso in esame, il programma si finge un antivirus e fornisce all’utente scansioni fittizie nelle quali rileva la presenza di minacce per il pc, ottenendo il duplice risultato di spillare soldi all’ignaro utilizzatore di Mac per l’acquisto di un programma che risolva il problema, e di insinuare nel sistema, assieme al suddetto programma, un vero malware.
MAC.OSX.AMCleanerCA è uno scamware che fingendosi un programma per la protezione del pc, introduce una minaccia nel sistema operativo e spinge gli utenti all’acquisto di software risolutivo che, ovviamente, non esiste. Sarà forse proprio per la maschera che indossa, che nel 2018 ha visto larga diffusione nei sistemi Mac, piazzandosi al sesto posto nella classifica del terzo trimestre del 2018 proposta nell’Internet Security Report di WatchGuard.
Ma come funziona lo scamware antimalware?
Per il momento, sono state rintracciate due versioni di MAC.OSX.AMCleanerCA, di fatto due modi diversi di arrivare al medesimo risultato. La prima si limita a mostrare all’utente una pagina HTML, contenuta al suo interno, al momento dell’avvio. Si tratta di un avviso che lo allerta sulla presenza di malware nel sistema operativo. La seconda, invece, è una vera e propria applicazione che avvia una scansione fasulla e arriva alla stessa conclusione della tipologia precedente. La particolarità di quest’ultima versione è che il software contiene un certificato digitale valido, che risulta quindi in grado di bypassare i sistemi di sicurezza, eludendo il Gatekeeper.
In entrambi i casi viene proposto all’utente un link su cui cliccare per scaricare un programma risolutivo, rigorosamente a pagamento. E qui sta la prima truffa. Il secondo step dell’attacco cibernetico, invece, è più rischioso: una volta avviato il programma scaricato, si apre una finestra in cui compare un numero “verde” da chiamare per ottenere un codice di attivazione gratuito. Il suddetto numero, nient’affatto sospetto e fantasioso quasi quanto le password più hackerate del 2018, è 800-1234567. Sorprendentemente il numero è connesso a una linea attiva, alla quale rispondono operatori che hanno la premura di avvertire il malcapitato utente che il suo indirizzo IP viene utilizzato in oriente per scopi sconosciuti. Come risolvere il problema? Seguendo le loro istruzioni e rischiando, quindi, di fornire agli hacker tutti i dati sensibili presenti sul pc.
Si conoscono due versioni MAC.OSX.AMCleanerCA: entrambe ingannano l’utilizzatore facendogli credere che il Mac sia infettato e lo spingono a scaricare un’applicazione a pagamento che risolva il problema. La seconda fase di attacco consiste nella comunicazione con una linea telefonica attiva (che risponde al numero 800-1234567), le cui indicazioni possono comportare la sottrazione di dati.
Conclusioni
MAC.OSX.AMCleanerCA è la prima minaccia che sembra aver seriamente messo alla prova la gestione della sicurezza dei sistemi operativi firmati Apple. Si tratta di uno scamware che fingendosi un antivirus e antimalware fornisce all’utente delle scansioni fittizie dalle quali emerge la presenza di “agenti patogeni” da eliminare. A questo punto lo spinge al download di un software risolutivo, chiaramente a pagamento. Secondo step dell’attacco informatico è quello di proporre un numero verde da chiamare (tal 800-1234567) al fine di ottenere un codice di attivazione gratuito per il programma appena scaricato. Chiamando questo numero l’utilizzatore viene portato a compiere una serie di azioni che rischiano di rendere noti i dati contenuti nel pc.
Il metodo migliore per proteggersi da questo tipo di minacce è sicuramente quello di far riferimento alle fonti ufficiali (nel caso di sistemi Apple significa scaricare le applicazioni solamente dall’App Store) e avere un po’ di senso critico: seriamente chiamereste il numero 800-1234567 senza porvi domande?
Nel dubbio rivolgetevi sempre al vostro Tecnico di fiducia: dopo tutto, “prevenire è meglio che curare”!
Commenti