Come avviene l’infezione: un firewall piratato con malware EXE integrato
Ironia della sorte vuole che il malware si trovi proprio in una copia piratata di un prodotto disicurezza, il firewall Little Snitch. Gli utenti che volevano evitare di pagare la licenza alla fine hanno avuto il benservito.
La versione infetta del firewall è stata diffusa via torrent; le vittime hanno scaricato sui propri computer il file ZIP con un’immagine disco in formato DMG (e fin qui tutto nella norma). Tuttavia, a uno sguardo più attento, i contenuti dei file DMG hanno rivelato la presenza della cartella MonoBundle con all’interno un file installer.exe. Un oggetto inusuale per macOS, dal momento che i file EXE di solito non funzionano sui dispositivi Mac.
Gatekeeper guarda dall’altra parte
Di fatto, i file eseguibili di Windows non sono supportati da macOS e Gatekeeper (una funzionalità di sicurezza di macOS che blocca l’avvio di programmi sospetti) semplicemente ignora i file EXE. Un comportamento piuttosto comprensibile: non ha molto senso sovraccaricare il sistema analizzando file che non sono attivi, soprattutto quando uno dei punti di forza tanto promossi da Apple è proprio la velocità dei suoi sistemi.
Tutto andrebbe secondo la norma se non ci fosse un “ma”: molti programmi sono disponibili per Windows, ma a volte anche gli utenti Mac ne hanno bisogno, per cui esistono diverse soluzioni per eseguire file non nativi della piattaforma. Uno di questi è il framework Mono, un sistema open source che consente agli utenti di aprire applicazioni Windows su altri sistemi operativi, macOS compreso.
Come potete immaginare, i cybercriminali sfruttano proprio il framework; di solito è necessario installarlo sul computer separatamente, e invece i cybercriminali sono riusciti a trovare un modo per creare un pacchetto unico con il malware (ricordate lo strano file EXE nella cartella MonoBundle?). Il risultato è che il malware riesce a operare anche sui Mac sui quali sono presenti solo programmi nativi.
Come avviene l’infezione: spyware e adware
Dopo l’installazione, il malware raccoglie informazioni sul sistema infettato. Ai cybercriminali interessano il nome del modello, l’ID del dispositivo, le specifiche del processore, la RAM e altri dati. Il malware prende queste informazioni e quelle sulle applicazioni installate e le invia al server C&C.
Allo stesso tempo, il malware scarica molte altre immagini sul computer infettato che includono installer camuffati da Adobe Flash Media Player o da Little Snitch. Invece, si tratta di strumenti adware che vi tartasseranno di banner.
Come difendersi
La morale della favola è piuttosto semplice: nel mondo delle tecnologie informatiche moderne, nessun sistema è completamente al sicuro. Inoltre, non ci si può fidare ciecamente delle funzionalità di protezione integrate, anche quando sono considerate affidabili. Ecco qualche consiglio su come proteggere il vostro computer dai malware più furbi:
- Non installate versioni pirata delle applicazioni. Se avete davvero bisogno di un programma e non siete proprio disposti a pagare per la licenza, provate prima a cercare un’alternativa gratuita;
- Scaricate sempre i programmi da fonti ufficiali, dall’app store o dal sito dello sviluppatore;
- Se avete deciso di scaricare un’applicazione da una risorsa non ufficiale, come il torrent tracker di cui abbiamo parlato, verificate di aver scaricato davvero ciò di cui avete bisogno. Guardate con sospetto tutti quei file “extra” presenti nel pacchetto d’installazione;
- Avvaletevi di una soluzione antivirus affidabile che analizzi tutti i file dannosi, senza alcuna eccezione.