Scoperto il trojan Ventir per Mac, come capire se si è infetti

La scorsa settimana, la società specializzata in antivirus Kaspersky ha annunciato la scoperta di un nuovo malware per Mac chiamato Ventir.
Il malware contiene un Trojan, un keylogger e una backdoor. Kaspersky non dice come viene installato il malware che dovrebbe essere un file eseguibile Unix, che potrebbe essere stato parte di un pacchetto di applicazione o installazione, o che potrebbe essere stato destinato a essere utilizzato in attacchi mirati con accesso fisico ai Mac presi di mira.
In entrambi i casi, l’esecuzione di questo file nel terminale infetta il sistema.

Antivirus Mac comparativa

Mac-Malware-Ventir-Trojan
Il rapporto Kaspersky indica una differenza di comportamento a seconda che l’accesso root sia disponibile (ad esempio se l’ utente ha fornito involontariamente admin e  password per l’app dannosa).
Mentre se l’utente ha rifiutato di inserire la password, il malware si installa in un modo diverso.Ventir se eseguito con “sudo” nel terminale, che consente l’accesso di root, crea una cartella denominata “.local” nella cartella /Library, e installa alcuni file all’interno di essa.
Si installa anche un file denominato “com.updated.launchagent.plist” nella cartella /Library/ LaunchDaemons, che mantiene aggiornato ilfile eseguibile in esecuzione in ogni momento.
Se invece l’accesso di root non è disponibile, si installa nella cartella “.local” nella cartella Libreria dell’utente.
In questo caso, il file com.updated.launchagent.plist viene creato nella cartella ~/Library/LaunchAgents.
Kaspersky Lab sospetta che il malware Ventir, o qualcosa adesseo collegato, potrebbero essere state utilizzate in recenti furti di dati.
In particolare alla luce delle recenti fughe di login e password dai database da Yandex, Mail.ru e Gmail.
è possibile che il malware della famiglia Ventir sia stato utilizzato per fornire i dati ai database pubblicati da criminali informatici.Inoltre è significativo che uno dei suoi tanti componenti di Ventir (l’estensione del kernel del keylogger) è composto da codice open-source e liberamente disponibile sul sito GitHub.

L’utilizzo di software open-source rende molto più facile per gli hacker creare nuovi malware e questo significa che possiamo pensare che il numero di programmi spia Trojan potrà crescere molto in futuro.

Apple non ha ancora bloccato Ventir con XProtect, ma speriamo che aggiornerà OS X a breve; ma anche se un aggiornamento XProtect proteggerà contro Ventir in forma trojan, è importante capire che se questo è utilizzato da un utente malintenzionato con accesso fisico al computer, potrebbe comunque bypassare XProtect.

Come capire se si è stati infettati

Per identificare se si è infetti o no, guardare nelle seguenti cartelle cercando il file com.updated.launchagent.plist:

Antivirus Mac comparativa

~/Library/LaunchAgents/
/Library/LaunchDaemons/

Se si trova il file in una di queste cartelle, sei stato infettato da Ventir.

Purtroppo questo malware contiene anche una backdoor che potrebbe essere utilizzata per installare componenti aggiuntivi o apportare modifiche dannose al sistema, e quindi la rimozione non è così semplice come la rimozione dei file dannosi descritti nella relazione di Kaspersky.
Se siete infetti, potrebbe essere necessario cancellare il disco rigido, reinstallare il sistema e le applicazioni da zero e ripristinare solo i dati (nessun file di impostazioni, applicazioni , ecc) da un precedente backup sicuro.

Prova Mackeeper l’antivirus pensato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeper Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *