Trojan

Scoperto il trojan Ventir per Mac, come capire se si è infetti

La scorsa settimana, la società specializzata in antivirus Kaspersky ha annunciato la scoperta di un nuovo malware per Mac chiamato Ventir.
Il malware contiene un Trojan, un keylogger e una backdoor. Kaspersky non dice come viene installato il malware che dovrebbe essere un file eseguibile Unix, che potrebbe essere stato parte di un pacchetto di applicazione o installazione, o che potrebbe essere stato destinato a essere utilizzato in attacchi mirati con accesso fisico ai Mac presi di mira.
In entrambi i casi, l’esecuzione di questo file nel terminale infetta il sistema.

Mac-Malware-Ventir-Trojan
Il rapporto Kaspersky indica una differenza di comportamento a seconda che l’accesso root sia disponibile (ad esempio se l’ utente ha fornito involontariamente admin e  password per l’app dannosa).
Mentre se l’utente ha rifiutato di inserire la password, il malware si installa in un modo diverso.Ventir se eseguito con “sudo” nel terminale, che consente l’accesso di root, crea una cartella denominata “.local” nella cartella /Library, e installa alcuni file all’interno di essa.
Si installa anche un file denominato “com.updated.launchagent.plist” nella cartella /Library/ LaunchDaemons, che mantiene aggiornato ilfile eseguibile in esecuzione in ogni momento.
Se invece l’accesso di root non è disponibile, si installa nella cartella “.local” nella cartella Libreria dell’utente.
In questo caso, il file com.updated.launchagent.plist viene creato nella cartella ~/Library/LaunchAgents.
Kaspersky Lab sospetta che il malware Ventir, o qualcosa adesseo collegato, potrebbero essere state utilizzate in recenti furti di dati.
In particolare alla luce delle recenti fughe di login e password dai database da Yandex, Mail.ru e Gmail.
è possibile che il malware della famiglia Ventir sia stato utilizzato per fornire i dati ai database pubblicati da criminali informatici.Inoltre è significativo che uno dei suoi tanti componenti di Ventir (l’estensione del kernel del keylogger) è composto da codice open-source e liberamente disponibile sul sito GitHub.

Antivirus Mac comparativa

L’utilizzo di software open-source rende molto più facile per gli hacker creare nuovi malware e questo significa che possiamo pensare che il numero di programmi spia Trojan potrà crescere molto in futuro.

Apple non ha ancora bloccato Ventir con XProtect, ma speriamo che aggiornerà OS X a breve; ma anche se un aggiornamento XProtect proteggerà contro Ventir in forma trojan, è importante capire che se questo è utilizzato da un utente malintenzionato con accesso fisico al computer, potrebbe comunque bypassare XProtect.

Come capire se si è stati infettati

Per identificare se si è infetti o no, guardare nelle seguenti cartelle cercando il file com.updated.launchagent.plist:

~/Library/LaunchAgents/
/Library/LaunchDaemons/

Se si trova il file in una di queste cartelle, sei stato infettato da Ventir.

Purtroppo questo malware contiene anche una backdoor che potrebbe essere utilizzata per installare componenti aggiuntivi o apportare modifiche dannose al sistema, e quindi la rimozione non è così semplice come la rimozione dei file dannosi descritti nella relazione di Kaspersky.
Se siete infetti, potrebbe essere necessario cancellare il disco rigido, reinstallare il sistema e le applicazioni da zero e ripristinare solo i dati (nessun file di impostazioni, applicazioni , ecc) da un precedente backup sicuro.

Scarica Mackeeper l’antivirus pensato per il Mac!

Antivirus Mac comparativa

Download MacKeeper

Le nuove versioni del trojan Netweird finalmente aggiunte su XProtect

Da un paio di mesi, ci sono state diverse segnalazioni di una nuova variante del malware NetWeird, scoperto nell’estate del 2012. In tutti i casi, questo malware è stato rilevato come Backdoor.Wirenet.2, e a differenza della precedente variante Wirenet.1 del 2012. Sembrerebbe che questo malware sia ancora in fase di sviluppo.Quando NetWeird apparì la prima volta nel 2012, si installava in modo abbastanza ovvio e sospetto, rendendo più facile per l’utente individuarlo. C’erano poche altre varianti di questo primo campione, tutte molto simili, ma nessuna di queste varianti era stata rilevata da XProtect fino a metà marzo.
Il mese scorso, sul forum di Apple, si è discusso un caso di infezione da Backdoor.Wirenet.2, a cui poi ne sono seguiti altri dello stesso tipo; i tre esempi sono due applicazioni chiamate cracker.app e una di nome Host.app. Si scoprì che nessuno veniva rilevato dalle nuove definizioni NetWeird aggiunte a XProtect fino al 13 marzo, e venivano aperti come fossero file innocui.
Mac-Trojan
Questi trojan hanno tutti un comportamento identico: creano una nuova cartella chiamata “Installa” nella cartella home dell’utente, questa cartella è invisibile, e questo rende improbabile per l’utente medio accorgersene. Successivamente, gli si copia del malware in quella cartella e infine, si aggiungono degli elementi di login dell’utente in modo che venga aperto automaticamente quando l’utente accede al Mac.
E’ importante sottolineare che almeno una persona infetta con la variante Wirenet.2 di questo malware ammette di aver scaricato materiale pirata da Torrent. Questo è un comportamento estremamente pericoloso, in quanto ci si espone non solo ai file distribuiti dagi hacker, ma potrebbe anche tradursi in un aggiramento della protezione XProtect a seconda del client torrent si usa. Ogni volta che qualcuno ti offre qualcosa che normalmente ha un costo in modo gratuito online, si dovrebbe essere  sospettosi.
A causa del potenziale per l’accesso backdoor di questo malware, non consiglio cercando di rimuoverlo manualmente, perchè non è facile come sembra. Se si scopre di essere stati infettati da questo malware, vi consiglio vivamente di cancellare il disco rigido e reinstallare OS X da zero.

A fine marzo XProtect è stato aggiornato alla versione 2047, e ora rileva e blocca le nuove varianti di Netweird, anche se più di qualcuno sui forum si domanda perché questi non siano stati aggiunti tempo fa… uno di questi campioni infatti è stato scopeto da VirusTotal nel luglio 2013!!!
Questo sembra suggerire che Apple non sta cercando i nuovi campioni di malware per conto proprio, ma facendo affidamento su altri che inviano i loro campioni, di solito società antivirus o perfino ricercatori privati. Sembrerebbe che, come minimo, non stiano dedicando risorse sufficienti per la ricerca sui nuovi malware.

Scarica Mackeeper l’antivirus pensato per il Mac!

Antivirus Mac comparativa

Download MacKeeper

Storia di un Mac forse infettato da un programma spia

Oggi riportiamo la storia di un utente preoccupato per lo stato di funzionamento del suo Mac: forse è stato attaccato da un keylogger, e chiede consigli su come procedere.

Ci sono un sacco di cose strane che stanno accadendo con il mio mac. Quando l’ho comprato tutto andava bene. Poi a un certo punto ho avuto il sospetto che qualcuno potesse aver infettato il Mac per spiarlo. Una volta mi è sembrato che qualcuno stesse usando l’accesso remoto per muovere finestre e file aperti proprio di fronte a me.
Da allora ho cercato di innalzare il livello di sicurezza, ho abilitato il firewall e installato una VPN.
Ma gli insoliti problemi sono continuati:

Antivirus Mac comparativa

Quando accendo il Mac a volte la finestra di login appare con solo la casella di testo visibile, il resto dello schermo è nero. A volte, quando muovo il mouse sopra lo schermo, lascia una scia dietro di se che cancella la schermata nera per rivelare dietro il log dello schermo.

A volte anche se è stato spento correttamente, il mio Mac si avvia nuovamente, anche se il coperchio è chiuso.  Ho problemi anche con il wi-fi, spesso mi  richiede la password di rete, ma poi non la riconosce quando viene inserita. Devo quindi riavviare prima di potermi connettere di nuovo.

Ho installato una protezione antivirus Trend Micro Titanium che ha scansionato tutti i miei file, ma non ha rilevato nulla di sospetto. A volte mi sono chiesto se i problemi possano derivare dalla mia VPN, è forse quello il problema?”
keylogger-mac Risposta:

Dai sintomi manifestati, sembra che tu abbia scaricato un keylogger, che spesso sono difficili da rilvare anche per i migliori antivirus. Per la finestra di login potresti provare questa soluzione offerta dal supporto della Apple: http://support.apple.com/kb/TS4135?viewlocale=it_IT.
Come soluzione estrema, se si ha la certezza che il sistema sia stato infettato da un keylogger (se i problemi persistono anche dopo aver avviato in modalità sicura potrebbe invece trattarsi invece di problemi hardware) si può installare nuovamente il sistema operativo OS X da zero cancellando i dati precedenti dopo aver fatto il backup dei documenti. Se invece i problemi non ci sono in safe mode, e si ripresentano all’avvio normale, allora è qasi sicuro che il Mac sia infetto.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Il trojan Crisis torna all’attacco

Il trojan Crisis è tornato! Stiamo parlando di uno strumento malware che consente l’accesso remoto, ed è per lo più utilizzato in attacchi mirati ed è stato scoperto più di un anno fa.  Era stato scoperto dalla Intego, che ha scoperto recentemente una nuova variante con alcuni trucchi.

Il più preoccupante aspetto della nuova variante è che non è attualmente riconosciuto come malware da nessuno dei motori antivirus su VirusTotal. Ciò è dovuto evidentemente, al fatto che il codice della nuova variante è stato compresso con MPRESS. Con questo trucco, comprimendo il codice maligno si nasconde decisamente meglio dai software antivirus, impedendo che venga rilevato dalla scansione in temo reale.

Antivirus Mac comparativa

A causa di questo offuscamento del codice eseguibile, è impossibile sapere da quanto tempo questo è stato nuovamente diffuso; e potrebbe essere stato in uso attivo per un bel po ‘di tempo prima di essere scoperti dalla comunità della sicurezza, semplicemente perché è solo utilizzato su un numero limitato di bersagli da tenere d’occhio.  Questa variante di Crisis avrebbe potuto essere in giro già da più di un anno, anche appena dopo che la prima versione è stata rilevata da parte della comunità di sicurezza informatica.

Questo trojan non è probabilmente qualcosa di cui l’utente Mac medio deve preoccuparsi direttamente, ma per coloro che hanno subito le attenzioni di un’organizzazione che li ha spiati, occorre visualizzare l’elenco dei file trovati su un sistema infetto che Intego pubblicato nel suo rapporto.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Un nuovo trojan arriva su Word dalla Cina

L’azienda di antivirus F-Secure ha rilasciato un alert su un probabile virus abilmente nascosto di un documento Word, che è stato progettato per infettare i computer con sistema operativo Mac OS X.

Il file di Word malevolo, esaminato da esperti di sicurezza, sostiene di essere su un seminario internazionale delle donne uiguri (una minoranza cinese perseguitata dal regime di Pechino), diretto dalla Fondazione uiguri Internazionale per i Diritti Umani e la Democrazia.
La vulnerabilità nei documenti di Word consiste nell’installare codice maligno sui destinatari delle mail con un file dall’aspetto di un documento Word con contenuti rilevanti e interessanti per far si che venga aperto dalle potenziali vittime.
E ‘chiaro che l’attacco è diretto contro gli utenti Mac ed è rilevato come malware  Agent- AADL e Trojan DocOSXDr – B.

Antivirus Mac comparativa

La domanda che molti si pongono, ma può essere la Cina il responsabile di questo attacco? perchè abbiamo visto diversi attacchi in passato, che hanno preso di mira i gruppi di minoranza nel paese. Non ci sono prove al 100 % del collegamento di questo attacco con il potere, ma tutti gli utenti Mac devono tenere a mente che è importante che tutti i computer, indipendentemente dal sistema operativo, siano adeguatamente protetti. Gli attacchi informativi saranno le guerre del futuro, e come sappiamo anche gli Stati Uniti hanno adottato un grande task force per combatterli, perchè possono paralizzare il sistema informativo ed economico di una nazione in pochi giorni.

Entrambi gli utenti Mac e utenti Windows devono garantirsi un elevato livello di sicurezza, installando le ultime patch di sicurezza e mantenendo il software antivirus aggiornato.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Il nuovo Trojan su Mac: Yontoo.1

La società di sicurezza russa Dr.Web mette in guardia su un nuovo tipo di Trojan chiamato Yontoo.1 . che usa le estensioni Safari o i plugin per Firefox per i contenuti video per infettare i Mac. Il parassita si pone come un lettore multimediale o un lettore video add-on, chee gli hacker hanno creato appositamente per i siti web da cui si possono scaricare film.

Un utente visita un sito e vuole vedere un video, ma il browser del Mac avverte che manca un plug-in e fornisce il link per scaricare l’estensione appropriata o l’addon. Quindi part il processo di installazione e il trojan si installa; una volta installato sul computer, si può trovare in Safari, ad esempio con l’estensione “Yontoo 1.0.

Antivirus Mac comparativa

Una volta installato sul computer Yontoo.1 può inviare i dati dell’utente al server remoto, e inoltre aggiunge uno strano codice che tiene traccia delle pagine visitate. Ciò si traduce, ad esempio, che molti siti compreso quello di Apple visualizzano negozi pubblicitari esterni.

Come possiamo proteggerci contro questo Trojan?

Apple dovrebbe aver aggiornato la sua lista XProtect Xprotect.Meta.Plist e dovrebbe essere in grado di riconoscere il nuovo malware, ma vale la pena esaminare gli elenchi di Addons installati in Firefox e Safari. Un elenco di tutte le estensioni installate finora si trova in Safari su “Impostazioni -> Estensioni” . In Firefox si vede nella barra dei menu “Strumenti – > Addons ” a ( scorciatoia da tastiera Maiusc -Comando- A).

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Nuovo trojan su Java colpisce anche OS X

E’ stato scoperto un nuovo Trojan che sfrutta una falla su Java, lasciando vulnerabili i anche i computer con Mac OS X oltre a Windows e Linux. Il malware JavaJar-B consente agli hacker di manipolare a distanza il sistema e di nuocere al suo buon funzionamento, aprendo le porte di comunicazione del computer all’installazione di malware convenzionale e anche di ransomware.
Oracle ha reagito velocemente alla vulnerabilità, che interessa anche l’ultima versione di Java, e sta rilasciando una mega patch per risolvere il problema.

Il problema è così grande che alcuni esperti di sicurezza hanno consigliato agli utenti di disabilitare Java. Altre organizzazioni non governative hanno detto che la vulnerabilità “viene attivamente sfruttata” e che il codice exploit è a disposizione del pubblico. L’US- CERT raccomanda di disabilitare Java nei browser almeno fino a quando non sarà disponibile un aggiornamento da Oracle.
La Apple ha già adottato misure per proteggere i propri utenti Mac OS X. L’ azienda di Cupertino ha già messo questa versione di Java nella lista nera, XProtect.plist, fino a quando una versione sicura di Java verrà rilasciata.
La vulnerabilità funziona su tutte le versioni di plugin Java 1.7.0_10 b18 e Apple ha aggiornato la sua lista nera anche con la versione B19. Di conseguenza, gli antivvirus  installati su Mac OS X dovrebbero impedire al browser di eseguire tutto ciò che funziona o richiede l’attivazione del plugin Java.

Antivirus Mac comparativa

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Nuovi aggiornamenti Apple per rilevare un Trojan SMS

Verso la fine di dicembre, la società di sicurezza russa Dr. Web ha pubblicato un post che annuncia la scoperta di un nuovo cavallo di troia specifico sper OS X conosciuto come Trojan.SMSSend.3666. Il malware è mascherato da programma di installazione per  software con titoli diversi.

Ecco le loro spiegazioni sul nuovo trojan:

Antivirus Mac comparativa

Quando un utente avvia il programma di installazione attraverso il file infetto, si vede l’interfaccia che imita la procedura guidata di installazione di dell’applicazione corrispondente. Al fine di continuare l’installazione i truffatori chiedono che la vittima inserisca il proprio numero di cellulare in un campo appropriato e chiedono di specificare il codice trovato in un SMS di risposta. Eseguendo queste operazioni l’utente accetta i termini di un abbonamento a pagamento addebitato su base regolare.

Trojan simili hanno interessato anche le piattaforme Windows e Android per diverso tempo, ma ora la tattica fraudolenta viene utilizzato per ingannare gli utenti Mac.

La Apple si è mossa rapidamente per affrontare la minaccia grazie all’aggiunta di definizioni per il malware sulla sua lista nera Xprotect.plist, che fa parte dei fondamentali strumenti anti-malware che Apple ha integrato con il OS X Snow Leopard nel 2009. Nella versione originale gli utenti erano tenuti ad aggiornare le definizioni manualmente, ma visto che le minacce malware contro OS X sono cresciute molto negli ultimi tempi, la Apple lo scorso anno ha fatto partire aggiornamenti automatici con controlli giornalieri per mantenere i sistemi degli utenti aggiornati. Gli strumenti anti-malware permettono di rilevare automaticamente quando un utente ha scaricato un file corrispondente alla firma del malware noto, avvisandolo della minaccia e consigliando di eliminare il file scaricato.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper