Nuova backdoor iWorm infetta oltre 18mila Mac, come capire se si è infetti

I ricercatori di sicurezza hanno recentemente scoperto che più di 17.000 Mac in tutto il mondo sono stati infettati da una nuova minaccia  malware per OS X chiamata iWorm, che a un certo punto avrebbe utilizzato la famosa piattaforma Reddit.com o un board di server del seguitissimo gioco Minecraft come un tramite per  eseguire diverse azioni di sistema e eseguire script Lua.
Di cosa si tratta
Il nuovo malware è entrato nel database dei virus della società di ricerca russa Dr. Web come “Mac.BackDoor.iWorm”, ed è descritto come una complessa  backdoor con più scopi potenziali, in grado di emettere una serie di comandi da far eseguire da un host.
Tra le operazioni che il malware può effettuare ci sono la raccolta dei dati e il controllo remoto del sistema infettato.Dopo che iWorm si installa, crea un file di funzionamento, e apre una backdoor per richiedere un elenco di server di controllo e si collega, in attesa di ulteriori istruzioni.
Questo particolare malware fa uso del servizio di ricerca di Reddit.com per recuperare l’elenco dei server botnet, che fino a poco tempo fa era camuffato in un commento al post minecraftserverlists opure di C&C (Command & Control).La stringa Reddit da allora è stata fermata, ma i creatori di iWorm potranno probabilmente impostare un altro elenco dei server attraverso un servizio di ricerca alternativo che deve ancora essere scoperto.Una volta che iWorm si connette con un server di comando e controllo, la backdoor usa il linguaggio di programmazione Lua. In alternativa, i server collegati possono inviare più altro malware in grado di compromettere ulteriormente il Mac interessato.

Il Worm può raccogliere e inviare informazioni sensibili dell’utente, parametri impostati nel file di configurazione, eseguire le query GET, mettere un Mac in modalità sleep,  ed eseguire script Lua nidificati.
Mappa della diffusione
mappa-backdoor-iworm
Come controllare se si è infetti
Visto che il iWorm si estrae in una cartella su OS X, gli utenti possono controllare se il proprio Mac è stato infettato navigando perchè crea dei file in alcune cartelle. Dal menu trova di OS X digita Support/Library/Application/javaw e /Library/LaunchDaemons/com.JavaW.plist. Se OS X non riesce a trovare la cartella, il computer è pulito. Se si trova la cartella, invece, occorre utilizzare un programma antivirus per eliminare iWorm dal proprio disco rigido.
Il malware resta attivo in background caricando il bot JavaW ad ogni avvio del sistema tramite il file JavaW.plist.
Secondo l’ analisi statistica di Dr. Web del iWorm, il malware ha già infettato circa 18500 Mac in tutto il mondo a partire dal 26 settembre.
La preoccupazione per gli utenti Mac è la capacità di replicarsi del worm, e di avere diverse varianti con obiettivi specifici come mandare mail di spam oppure sottrarre credenziali Bitcoin.
***Aggiornamento***
La Apple ha rilasciato in tempi abbastanza brevi un aggiornamento di protezione delle definizioni di malware per  Xprotect, in questo modo i Mac sono al sicuro contro due diverse varianti di iWorm.
L’unico problema rimane il fatto che l’aggiornamento non viene segnalato agli utenti ma è fatto in modo automatico in backgroud. Se si vuole indagare la questione e vedere quali sono le definiìzioni di Xprotect, si può cercare il file XProtect.plist, come indicato in questa discussione sul forum della Apple.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *