Già con l’ingresso di MAC.OSX.AMCleanerCA la leggendaria inviolabilità dei sistemi MacOS aveva vacillato. Ora, Trend Micro ha messo in luce una nuova minaccia per i sistemi di paternità Apple. Quasi ironicamente, il nemico si nasconde dietro un file eseguibile .exe, tipico della fazione Windowsiana.
E per quale motivo gli hacker sarebbero andati a scomodare un formato “alieno” ai Mac? Molto semplice: il sistema di controllo integrato nei dispositivi Apple è in grado di analizzare solo file nativi MacOS. Gatekeeper, infatti, non sottopone i file.exe ai controlli volti a stabilire l’autenticità dell’oggetto tramite la validazione della firma digitale. È stato quindi possibile aggirare la protezione Mac e far infiltrare il malware in sistemi che, così si vociferava, sarebbero dovuti essere invalicabili.
Pensavate che i sistemi MacOS fossero inviolabili? Sbagliato: ci pensa un file.exe in grado di aggirare il Gatekeeper dei sistemi operativi Apple.
File.exe dannoso: come funziona?
A quanto pare il file.exe in questione si presenta all’interno del bundle, disponibile e scaricabile tramite file torrent, dell’applicazione Little Snitch. Scaricando il pacchetto, ci si trova di fronte a quello che sembrerebbe un normalissimo setup. Salta però subito all’occhio la presenza inusuale di un file.exe che, se eseguito, porta all’installazione di un malware.
Per chi si stesse chiedendo come sia possibile che un file di questo tipo venga avviato su un sistema MacOS, apparentemente incompatibile con il formato .exe, la risposta è Mono: framework gratuito che permette di eseguire file non concepiti per i sistemi Apple. È proprio all’interno di un bundle di Mono che sono contenuti i file infetti e tutti gli attributi necessari al suo avvio.
Ma qual è il payload del temibile file.exe? Qual è lo scopo?
Per prima cosa, il virus raccoglie informazioni sul sistema… studia il nemico. I dati a cui punta sono principalmente:
- Nome del modello;
- Identificativo del modello;
- Velocità del processore;
- Numero di Core;
- Memoria;
- Versione della BootROM;
- Versione del firmware SMC;
- Numero di serie;
- UUID (Universally Unique Identifier);
Il secondo step è quello di scaricare e installare una serie di applicazioni sul dispositivo. Si tratta di software adware, ovvero di programmi che presentano inserzioni pubblicitarie insistenti e disturbanti per la navigazione dell’utente.
File.exe: Perché e a quale scopo?
Gli scopi nascosti dietro a questo tipo di minacce sono molteplici: sicuramente l’intento è truffaldino nei confronti degli inserzionisti, che vengono ingannati dalle visualizzazioni gonfiate. Oltre al rallentamento delle prestazioni del dispositivo a causa della continua apertura di popup, vi sono numerosi ulteriori rischi connessi all’installazione di questi programmi.
Primo su tutti il calo di sicurezza causato dalla modifica delle pagine HTML direttamente da browser: questo comporta la comparsa di annunci diversi da quelli previsti originariamente e la presenza di link che potrebbero portare l’utente su siti dannosi. I software adware, inoltre, comunicano le abitudini di navigazione dello user a server remoti: è impossibile stabilire quali siano i dati in entrata e quali quelli in uscita.
È dunque evidente il potenziale danno nascosto dietro al file.exe che sta terrorizzando i sistemi MacOS. Come se non fosse uno smacco sufficiente per i sostenitori dell’iper-sicurezza legata al mondo Apple, l’attacco sembra proprio indirizzato unicamente a questo sistema operativo: se eseguito da Windows, infatti, non risulta avviabile e compare un messaggio di errore.
Il file.exe dannoso si trova all’interno del bundle del software Little Snitch, scaricabile tramite file torrent. Una volta eseguito, il malware raccoglie informazioni sul dispositivo che lo ospita e scarica e installa una serie di applicazioni adware, la cui presenza su pc può risultare molto dannosa.
Conclusioni
Il nuovo pericolo per i sistemi MacOS (che a quanto pare non sono poi così inviolabili) si nasconde dietro un file.exe. Quest’ultimo viene scaricato all’interno del bundle di Little Snitch, firewall che tiene sotto controllo i dati in uscita e quelli in entrata nel sistema, scaricabile tramite file torrent.
Il motivo per il quale la scelta è ricaduta su tale formato è legato a quella che sembra una falla del sistema di protezione Apple: Gatekeeper, sistema di controllo integrato, agisce, verificando la presenza e la validità della firma digitale, solo sui file nativi MacOS.
L’utilizzo del file.exe, altrimenti incompatibile con i pc Apple, è garantito dalla codifica tramite Mono, framework gratuito che consente l’avvio su Mac di formati che solitamente non sono concepiti per questo sistema operativo. Una volta in azione, il programma raccoglie quante più informazioni possibile sul sistema e inizia a scaricare e a installare una serie di programmi adware, nocivi per il device.
Trand Micro, il primo a segnalare a Apple questa minaccia, pensa si possa trattare di un virus “sperimentale”, una sorta di versione beta volta a creare un precedente per rilasciare poi versioni migliorate del malware che abbiano effetti ancora più dannosi.
Commenti