Tag Archive for XProtect

Hai preso un virus su Mac? scoprilo qui

Diversi lettori del sito ci hanno chiesto come fare a capire se il loro Mac ha contratto virus, malware o altri problemi a seconda dei sintomi, quali sono i rischi e come fare una scansione virus Mac per eliminare i virus.

Sommario dei contenuti della guida

1) Sintomi, il tuo Mac si comporta in modo strano?
2) Alcuni esempi di virus
3) Annunci imprevisti nel browser e pop-up pubblicitari
4) Il tuo Mac è sempre più lento?
5) Come fare una scansione su Mac per eliminare i virus
6) Comportamenti a rischio sicurezza
7) Che tipo di sicurezza ha il mio Mac?
8) Consigli contro i virus

Mac sotto attacco virus
1) Sintomi, il tuo Mac si comporta in modo strano?

Se stai vedendo annunci pubblicitari (alias Adware) che non sai spiegarti, o il tuo sistema è troppo lento, il problema potrebbe essere colpa del malware.
Ricorda i virus possono colpire indifferentemente i Macbook,  iMac, i Mac Pro, i MacBook Air e i Mini.

Negli ultimi anni i Mac sono cresciuti in popolarità e diffusione, e da allora, e non a caso, anche i virus per Mac.
Non è naturalmente il caso di farsi prendere dal panico: le infezioni Mac diffuse sono ancora meno rare rispetto al PC, ma ecco una breve panoramica dei virus più diffusi degli ultimi anni.

2) Alcuni esempi di virus famosi

  • Wirelurker è stato distribuito via software pirata per Mac. Ha tentato di infettare qualsiasi iPhone o iPad collegato a Mac infetti, diffondendosi da una piattaforma all’altra e raccogliendo gli ID univoci degli apparecchi nel processo. Non sida quale sia l’obiettivo di questo malware.
  • iWorm infetta gli utenti che hanno scaricato software pirata dal famoso sito The Pirate Bay. I Mac infetti diventano parte di una botnet globale.

Impariamo da questi esempi

Tutte queste infezioni hanno una cosa in comune: infettano i Mac attraverso software installati quasi sempre al di fuori del Mac App Store.
In alcuni casi, la colpa è di software pirata, in altri è un software di terze parti. Quindi se non si installa il software fuori dal Mac App Store, i rischi diminuiscono. Certo, ci sono alcuni exploit del sistema o dei browser e Java è una preoccupazione costante, quindi occorre tenere sempre aggiornato OSX perchè la Apple rilascia spesso delle patch per risolvere i problemi.

Se si installa il software fuori dal Mac App Store, bisogna stare attenti al software prima di installarlo (usiamo Google per una revisione, e la ricerca di una pagina ufficiale).

Analizziamo ora alcuni segnali che potrebbero significare che il vostro Mac potrebbe essere infettato da un virus.

3) Annunci imprevisti nel browser e pop-up pubblicitari

Gli adware sta diventando un problema sempre più grande sulla piattaforma Mac. Se stai vedendo annunci in luoghi dove in precedenza non si sono presentati, c’è una buona probabilità che avete installato qualcosa che non dovevate.
Spesso codici maligni si installano tra i plugin dei browser come Safari e reindirizzano le ricerche su siti pericolosi o pieni di spam pubblicitari.
Questo è ancora più vero se si vedono annunci pop-up anche quando non si sta navigando in Internet.
Se vuoi saperne di più leggi la nostra guida sull’Adware, come identificarlo e come rimuoverlo.

4) Il tuo Mac è sempre più lento?

Mac lentoAlcuni virus per Mac lo fanno diventare parte di una botnet Mac, che è una rete globale di computer utilizzati per ogni genere di cose, spesso illegali.
Se il Mac è infetto, potrebbe essere usato a tua insaputa per effettuare un attacco DDoS a un sito web, far parte di una rete di mining per bitcoin, o altre azioni che usano la potenza di calcolo della CPU del tuo Mac!

Se il Mac continua ad essere lento, anche se non si hanno molti programmi aperti, questa è una possibilità concreta.
Ma nella maggior parte dei casi si tratta di altro, problemi dovuti a file inutili, troppi programmi installati o cattive prestazioni dell’hard disk.
P
otete leggere la nostra guida per rendere il Mac più veloce, oppure  usare un programma come l’ottimo MacBooster per velocizzare e pulire il vostro Mac.

5) Come fare una scansione virus Mac?

Pensi che il tuo Mac possa essere stato infettato dai virus?
Per saperlo con certezza occorre installare un antivirus per eseguire la scansione del Mac e scoprire eventuali infezioni, come il valido Mackeeper:

mackeeperDopo la scansione (consigliamo di fare quella approfondita di tutti gli hard disk anche esterni) alla ricerca di virus, potrai eliminare i virus Mac trovati e rendere sicuro il tuo sistema OS X e i tuoi dati.
Importante è poi tenere l’antivirus sempre attivo in memoria Ram, in modo che parta in automatico quando avviamo il sistema operativo OS X e ci protegga da subito.
Altri ottimi antivirus li trovi nella nostra comparativa aggiornata

oppure utilizzare altri metodi come questi:

  • Scansione Virustotal per Mac è uno strumento online gratuito rilasciato alcuni mesi da Google.
  • AdwareMedic che ora fa parte di Malwarebytes, scansiona ed elimina un buon numero di adware sul vostro Mac, è un prodotto molto valido anche se ovviamente non sostituisce un antivirus in esecuzione sul Mac, che è la scelta che noi consigliamo!

Se nessuno di questi strumenti trova qualcosa, è abbastanza improbabile che il tuo Mac sia infetto, anche se le minacce sono in aumento e non tutte sono ancora state scoperte dai ricercatori sulla sicurezza.

6) Comportamenti a rischio sicurezza

Spesso senza rendercene conto nell’utilizzo giornaliero del computer facciamo alcune cose che possono renderci vulnerabili ai virus, ecco alcuni esempi:

a) scaricare file Torrent Mac non sicuri (leggi la nostra guida per farlo in modo semplice e più sicuro) che possono contenere virus e malware piuttosto pericolosi.
b) visitare siti a rischio come portali hard, deep web, siti di di software, film e giochi piratati.
c) scaricare software non dell’Apple store, non certificato e quindi potenzialmente dannoso.
d) non aggiornare spesso OS X, i software, i browser di navigazione e i plugin come Flash e Java, spesso utilizzati come cavalli di troia per entrare nel computer.

Nel caso tu faccia uno o più di questi utilizzi del Mac è caldamente consigliato un antivirus sempre attivo!!!

7) Che tipo di sicurezza ha il mio Mac?

Il Mac ha alcune difese installate con OSX che dovrebbero tenervi al sicuro da una parte del malware, anche se, come tutte le misure non sono del tutto infallibili, anche se la Apple sta cercando di correre ai ripari.
Qui ci sono alcuni strumenti di OSX per la sicurezza:

  • Gatekeeper aiuta a proteggere il tuo Mac, impedendo agli utenti non informati di installare software potenzialmente pericoloso. Per impostazione predefinita, questo significa che non si può installare nulla al di fuori del Mac App Store, ma è anche possibile configurarlo per bloccare applicazioni da sviluppatori sconosciuti.
    Naturalmente, molti utenti Mac disabilitano Gatekeeper completamente in modo da poter eseguire qualsiasi software vogliono, comprese le cose che loro stessi hanno compilato.
    La speranza è che gli utenti ben informati sappiano valutare con attenzione le applicazioni che scaricano prima di installarle.
  • Sandboxing. Le Apps installate attraverso il Mac App Store hanno un accesso limitato al sistema, una limitazione destinata a fermare un app prima che possa compromettere l’intero sistema operativo.
  • XProtect, ufficialmente chiamato File Quarentine, è il programma anti malware che non sapevi di avere! è parte di OS X dal 2009, e non è come l’antivirus di Windows, ma è completamente invisibile alla maggior parte degli utenti. Non è possibile aprire il programma ed eseguire una scansione da soli, e non è possibile installare manualmente gli aggiornamenti. Ma se sei stato infettato da un virus noto, ci sono buone probabilità che il programma ti avverta.
    XProtect ti fermerà anche prima di aprire i file infetti. L’unico problema potrebbero essere gli aggiornamenti della Apple, a volte troppo lenti a reagire alle nuove minacce.
  • La poca diffusione è un altro vantaggio che valeva fino a 5/6 anni fa, ma ora i Mac hanno una quota di mercato crescente. Per lungo tempo ci sono stati così pochi computer attivi con OS X, che i creatori di malware non si sono preoccupati di farne un loro bersaglio.
    Naturalmente oggi, con una crescente base di utenti Mac, questo vale meno di prima, ma Windows rimane ancora l’obiettivo primario per i produttori di malware.

8) Consigli contro i virus per una maggiore sicurezza

1) Se usate il Mac per lavoro o tenete giustamente ai vostri dati personali, seguite questi consigli per la privacy.
2) Se siete dei nuovi utenti di OS X leggete qui le basi della sicurezza e qui.
3) Per evitare di prendere virus e malware in generale leggete la nostra guida apposita contro i virus Mac e quest’altro articolo che tratta anche dei fastidiosi trojan.
4) Attivare il firewall di OS X, scopri qui se è il caso di farlo e come!
5) Installare un antivirus! sembra banale ma ancora molti utenti Mac non l’hanno installato, esponendosi a rischi durante la navigazione e il download.

Scopri qui i migliori antivirus per il Mac!

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

L’adware Downlite bloccato da una patch di Apple

La Apple ha rilasciato da pochi giorni un aggiornamento per Xprotect, che consente di bloccare un fastidioso adware chiamato  OSX.Downlite.A.
Erano diversi mesi che Downlite creava problemi alla comunità di utenti Mac OS X, installandosi sul browser Safari e facendo apparire un banner pubblicitario sotto la barra di ricerca di Google.

Al contrario di quello che si potrebbe pensare, per prendere questo (o altri adware) non è necessario visitare siti pirata o di fle torrent. Grandi siti di download file come CNET  downloads.com e softonic.com sono stati coinvolti in passato con il download di adware che si installano insieme a software legittimi che sono usati come veicoli.
In questo caso il file incriminato è MPlayerX, un noto media player.

downlite-adware

 Downlite rappresenta un ulteriore evoluzione dei normali adware pubblicitari, perchè blocca anche l’accesso a utili risorse come AdwareMedic che sono state create per togliere gli adware dal Mac.
Un salto di qualità che testimonia la crescente lotta tra gli antivirus e il malware per Mac, che diventa sempre più complessa, andando di pari passo con l’aumento della diffusione di OS X.

Oltre ad aggiungere Downlite ad XProtect, Apple ha revocato il certificato utilizzato per firmare questo installer Downlite (travestito da installatore MPlayerX ).
Al tentativo di aprire il programma di installazione viene visualizzato un messaggio di errore che dice che non può essere aperto.

Apple però deve ancora intervenire sulla maggior parte degli adware, come Genieo o Conduit, che rimangono attivi e sbloccati.
Questi sono altrettanto diffusi come Downlite e si installano molto più profondamente nel sistema, inoltre sono più difficili da rimuovere.

Gli Adware rimangono ancora una zona grigia, e alcuni sostengono che permette al software distribuito gratuitamente di essere supportato con la loro pubblicità.
Tuttavia sono incoraggiati da questo recente sviluppo, e in molti casi diventano fastidiosi, e ora forse Apple potrebbe prendere provvedimenti contro qualsiasi adware che si permette di bloccare l’accesso ad alcuni siti come ha fatto Downlite.

Se hai dei dubbi che il tuo Mac abbia preso degli Adware pubblicitari, leggi la nostra guida sull’identificazione e la rimozione.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Nuova backdoor iWorm infetta oltre 18mila Mac, come capire se si è infetti

I ricercatori di sicurezza hanno recentemente scoperto che più di 17.000 Mac in tutto il mondo sono stati infettati da una nuova minaccia  malware per OS X chiamata iWorm, che a un certo punto avrebbe utilizzato la famosa piattaforma Reddit.com o un board di server del seguitissimo gioco Minecraft come un tramite per  eseguire diverse azioni di sistema e eseguire script Lua.
Di cosa si tratta
Il nuovo malware è entrato nel database dei virus della società di ricerca russa Dr. Web come “Mac.BackDoor.iWorm”, ed è descritto come una complessa  backdoor con più scopi potenziali, in grado di emettere una serie di comandi da far eseguire da un host.
Tra le operazioni che il malware può effettuare ci sono la raccolta dei dati e il controllo remoto del sistema infettato.Dopo che iWorm si installa, crea un file di funzionamento, e apre una backdoor per richiedere un elenco di server di controllo e si collega, in attesa di ulteriori istruzioni.
Questo particolare malware fa uso del servizio di ricerca di Reddit.com per recuperare l’elenco dei server botnet, che fino a poco tempo fa era camuffato in un commento al post minecraftserverlists opure di C&C (Command & Control).La stringa Reddit da allora è stata fermata, ma i creatori di iWorm potranno probabilmente impostare un altro elenco dei server attraverso un servizio di ricerca alternativo che deve ancora essere scoperto.Una volta che iWorm si connette con un server di comando e controllo, la backdoor usa il linguaggio di programmazione Lua. In alternativa, i server collegati possono inviare più altro malware in grado di compromettere ulteriormente il Mac interessato.

Il Worm può raccogliere e inviare informazioni sensibili dell’utente, parametri impostati nel file di configurazione, eseguire le query GET, mettere un Mac in modalità sleep,  ed eseguire script Lua nidificati.
Mappa della diffusione
mappa-backdoor-iworm
Come controllare se si è infetti
Visto che il iWorm si estrae in una cartella su OS X, gli utenti possono controllare se il proprio Mac è stato infettato navigando perchè crea dei file in alcune cartelle. Dal menu trova di OS X digita Support/Library/Application/javaw e /Library/LaunchDaemons/com.JavaW.plist. Se OS X non riesce a trovare la cartella, il computer è pulito. Se si trova la cartella, invece, occorre utilizzare un programma antivirus per eliminare iWorm dal proprio disco rigido.
Il malware resta attivo in background caricando il bot JavaW ad ogni avvio del sistema tramite il file JavaW.plist.
Secondo l’ analisi statistica di Dr. Web del iWorm, il malware ha già infettato circa 18500 Mac in tutto il mondo a partire dal 26 settembre.
La preoccupazione per gli utenti Mac è la capacità di replicarsi del worm, e di avere diverse varianti con obiettivi specifici come mandare mail di spam oppure sottrarre credenziali Bitcoin.
***Aggiornamento***
La Apple ha rilasciato in tempi abbastanza brevi un aggiornamento di protezione delle definizioni di malware per  Xprotect, in questo modo i Mac sono al sicuro contro due diverse varianti di iWorm.
L’unico problema rimane il fatto che l’aggiornamento non viene segnalato agli utenti ma è fatto in modo automatico in backgroud. Se si vuole indagare la questione e vedere quali sono le definiìzioni di Xprotect, si può cercare il file XProtect.plist, come indicato in questa discussione sul forum della Apple.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Analizziamo la battaglia contro il malware

Con l’avvento del personal computing negli anni ’80, gli utilizzatori progressivamente invocarono lo sviluppo di software di sicurezza per rimuovere virus, trojan, spyware e altri software dannosi dai loro sistemi.
Per un paio di decenni gli antivirus sono stati una necessità, soprattutto per le piattaforme che hanno subito un grande attacco di malware rispetto ad altri (in particolare Windows e il Mac OS Classic, rispetto ad OS X). Oggi il malware è ancora un problema costante e grave, tuttavia, sembra che questo approccio classico che tenta di arginare il flusso di malware sia uno sforzo che è progressivamente fallito.
090707_k22_ow_pf_dr 004
Recentemente Brian Dye, vice presidente senior per la sicurezza delle informazioni a Symantec, ha dichiarato al Wall Street Journal che l’antivirus classico “è morto”, suggerendo che il classico approccio per identificare le varianti di malware potrebbe essere una battaglia persa.La quantità di malware che le società di sicurezza stanno vedendo uscire ogni anno è in aumento esponenziale, e non è facile tenere il passo con l’identificazione e la creazione di definizioni efficaci contro tutte le minacce. Ad esempio, ricordiamo la difficile battaglia  per gli sforzi di protezione contro il malware Flashback, dove le nuove varianti rilasciate dagli hacker aggiravano le nuove definizioni a pochi giorni di distanza dal rilascio degli aggiornamenti.

Inoltre, gli hacker stanno escogitando nuovi sistemi che non si comportano come i malware classici, capitalizzando gli errori del settore, come nel caso del recente Snafu Heartbleed OpenSSL.Questo significa che il mondo della sicurezza informatica sta cambiando al punto in cui è difficile contare su una suite di sicurezza per mantenere il sistema al sicuro. Se viene trovata una vulnerabilità, le varianti di malware che la sfruttano spesso si diffondono più velocemente di una correzione che può essere rilasciata dallo sviluppatore.

Gli strumenti di sicurezza sono solo opzioni per aiutarvi a scoprire e prevenire che il malware venga installato, e non possono sempre riuscire nel loro compito al 100%.
Se guardate l’approccio di Apple in materia, l’azienda ha istituito il rilevamento del malware attivo, invece di concentrare gli sforzi sul proprio sistema di rilevamento XProtect, Apple ha favorito il contenimento, non del malware stesso, ma delle possibilità di sfruttare l’accesso ai dati degli utenti.È necessario che ogni programma che Apple ospita sul suo App Store debba essere firmato digitalmente in modo che solo loro possano essere eseguiti quando sono attivate ​misure di sicurezza come Gatekeeper.
Per i dati personali, Apple sta concentrandoi suoi sforzi sulla crittografia e l’uso di password, offrendo facilità di generazione delle password di alta qualità per l’autenticazione ai siti Web e la loro gestione da parte dell’utente.

Utilizzando queste opzioni che Apple fornisce con il Mac, si può stare abbastanza sicuri, abbinando naturalmente un antivirus. Per ora, gli sforzi come questi propendono per bloccare il malware dall’interno, invece di sradicarlo.  L’utilizzo di strumenti anti-malware contribuirà a questo sforzo, ma non può essere invocato come unica fonte per la sicurezza del computer, che parte prima dalla consapevolezza del’utente.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Guida a XProtect: come funziona e protegge il Mac

Oggi analizziamo uno degli strumenti principali con cui Apple protegge il nostro Mac, si chiama XProtect ed è un primo importante filtro di sicurezza per OS X.

Negli ultimi mesi Apple ha bloccato le versioni insicure di Java e Flash per i sistemi OS X, per questo le vecchie versioni di Java e Flash improvvisamente non funzionano più. Talvolta lo sviluppatore del software deve comunque rilasciare un bugfix, e l’utente deve aggiornare alla versione più recente il software utilizzato.

La quarantena dei file è una caratteristica introdotta in Snow Leopard: quando si scarica un file potenzialmente pericoloso utilizzando un’applicazione come un browser o la mail, il sistema operativo vi avviserà e chiederà se si vuole veramente aprirlo. In Snow Leopard la quarantena è stata ampliata per verificare la presenza di trojan grazie alla tecnologia XProtect per la scansione del malware conosciuto. L’elenco dei trojan riconosciuti è stato ampliato molte volte e nuove definizioni di malware vengono scaricate ogni giorno se disponibili. Se si tenta di aprire un file in quarantena che è in realtà un trojan si otterrà un avviso.

Cos’è e come funziona XProtect
Ecco una panoramica di questo meccanismo di protezione.

XProtect

XProtect controlla ogni download di file potenzialmente dannosi, le definizioni del malware sono aggiornate con il normale aggiornamento del software di sistema OS X. Recentemente Apple ha rilasciato un aggiornamento per il framework XProtect in modo che possa controllare gli aggiornamenti direttamente su se stesso, in questo modo Apple può reagire più velocemente alle potenziale minacce: quando si diffonde il malware il tempo di reazione (come per gli antivirus) è fondamentale.
Questo meccanismo è controllato con il file XProtect.plist.  che si trova nella seguente posizione:
Sistema > Libreria > CoreServices > CoreType.bundle > Contenuti > Risorse.Qui potete anche vedere il file XProtect.meta.plist, in questo file è possibile trovare il numero di versione, questa viene utilizzata per verificare se è necessario un aggiornamento . Qui potete trovare anche se un software è stato bloccato e messo in quarantena.
Quando si apre il file XProtect.meta.plist con un editor di testo è possibile modificare il valore di stringa di un software bloccato in modo che le versioni precedenti del software siao utilizzabili. Tenete a mente che se un file è bloccato c’è probabilmente un buon motivo.
E’ possibile attivare la funzionalità di aggiornamento automatico di XProtect andando nel seguente percorso:Preferenze > Sicurezza > Generale > Avanzate. Qui si può scegliere di attivare la funzione di aggiornamento automatico. Se si vuole forzare un aggiornamento manuale delle definizioni è possibile eseguire il seguente comando in un terminale:
sudo launchctl com.apple.xprotectupdater.
Apple ha fatto diversi passi avanti e ha migliorato XProtect dopo i recenti casi di malware piuttosto diffusi, ma è  necessario ricordare il fatto che non è un sostituto di un buon antivirus.
Specialmente quando si usano programmi peer-to-peer, file sharing e torrent, che sono uno dei più grandi vettori per malware, vi consiglio vivamente di testare la funzione di quarantena.
In Mountain Lion (OS X 10.8), Apple ha aggiunto Gatekeeper, che prevede un modo per limitare quali applicazioni possono essere eseguite in base alla firma nel codice; è un metodo con cui uno sviluppatore utilizza un certificato di sicurezza rilasciato da Apple per firmare le sue app e una applicazione firmata non può essere modificata senza rompere la firma.
La scansione dei prodotti antivirus reagisce molto più velocemente di quanto può fare il meccanismo di XProtect. Per stare il più sicuri possibile suggerisco di utilizzare XProtect in combinazione con un prodotto antivirus.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Le nuove versioni del trojan Netweird finalmente aggiunte su XProtect

Da un paio di mesi, ci sono state diverse segnalazioni di una nuova variante del malware NetWeird, scoperto nell’estate del 2012. In tutti i casi, questo malware è stato rilevato come Backdoor.Wirenet.2, e a differenza della precedente variante Wirenet.1 del 2012. Sembrerebbe che questo malware sia ancora in fase di sviluppo.Quando NetWeird apparì la prima volta nel 2012, si installava in modo abbastanza ovvio e sospetto, rendendo più facile per l’utente individuarlo. C’erano poche altre varianti di questo primo campione, tutte molto simili, ma nessuna di queste varianti era stata rilevata da XProtect fino a metà marzo.
Il mese scorso, sul forum di Apple, si è discusso un caso di infezione da Backdoor.Wirenet.2, a cui poi ne sono seguiti altri dello stesso tipo; i tre esempi sono due applicazioni chiamate cracker.app e una di nome Host.app. Si scoprì che nessuno veniva rilevato dalle nuove definizioni NetWeird aggiunte a XProtect fino al 13 marzo, e venivano aperti come fossero file innocui.
Mac-Trojan
Questi trojan hanno tutti un comportamento identico: creano una nuova cartella chiamata “Installa” nella cartella home dell’utente, questa cartella è invisibile, e questo rende improbabile per l’utente medio accorgersene. Successivamente, gli si copia del malware in quella cartella e infine, si aggiungono degli elementi di login dell’utente in modo che venga aperto automaticamente quando l’utente accede al Mac.
E’ importante sottolineare che almeno una persona infetta con la variante Wirenet.2 di questo malware ammette di aver scaricato materiale pirata da Torrent. Questo è un comportamento estremamente pericoloso, in quanto ci si espone non solo ai file distribuiti dagi hacker, ma potrebbe anche tradursi in un aggiramento della protezione XProtect a seconda del client torrent si usa. Ogni volta che qualcuno ti offre qualcosa che normalmente ha un costo in modo gratuito online, si dovrebbe essere  sospettosi.
A causa del potenziale per l’accesso backdoor di questo malware, non consiglio cercando di rimuoverlo manualmente, perchè non è facile come sembra. Se si scopre di essere stati infettati da questo malware, vi consiglio vivamente di cancellare il disco rigido e reinstallare OS X da zero.

A fine marzo XProtect è stato aggiornato alla versione 2047, e ora rileva e blocca le nuove varianti di Netweird, anche se più di qualcuno sui forum si domanda perché questi non siano stati aggiunti tempo fa… uno di questi campioni infatti è stato scopeto da VirusTotal nel luglio 2013!!!
Questo sembra suggerire che Apple non sta cercando i nuovi campioni di malware per conto proprio, ma facendo affidamento su altri che inviano i loro campioni, di solito società antivirus o perfino ricercatori privati. Sembrerebbe che, come minimo, non stiano dedicando risorse sufficienti per la ricerca sui nuovi malware.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Il malware invisibile e criptato

Nel settore della sicurezza su Mac sta facendo discutere il post del blog Cerbero, che ha riportato una tecnica che potrebbe essere utilizzata per creare quello che alcuni chiamano il malware “invisibile”. Questa tecnica non rappresenta un vero problema per l’industria che produce gli antivirus. Tuttavia è importante capire il contesto completo di come Mac OS X si può protegge dal malware.

Il trucco segnalato comporta la crittografia dei file eseguibili, che è supportato direttamente da Mac OS X,  il ragionamento è che un eseguibile criptato sembra molto diverso dalla sua versione in chiaro. Quindi si potrebbe prendere qualche malware esistente, che è già stato rilevato dai software antivirus (tra cui la tecnologia XProtect di Apple) e crittografare il file eseguibile. Questo potrebbe mascherare la firma del malware, facendolo passare inosservato alla maggior parte dei programmi antivirus.

Questo è un problema serio, e dovrà essere esaminato da tutti nel settore della sicurezza per Mac, perchè questo rischia di essere un altro di quei trucchi che gli hacker utilizzano per rallentare (ma non completamente prevenire) il rilevamento del loro malware.

Tuttavia è importante rendersi conto che, criptati o meno, vi è una barriera molto significativa che il malware deve prima superare su versioni recenti di Mac OS X: Gatekeeper. Perché Gatekeeper impedisce alle applicazioni non firmate di attivarsi, a meno che l’utente ignori del tutto questo funzione di sicurezza e la disattivi. Alcuni hacker però sanno sicuramente usare il trucco della firma del malware con un ID sviluppatore valido, come è già successo in alcuni casi. Tuttavia vi è un costo per ottenere un ID sviluppatore, che renderà un hacker riluttante a usare questo sistema. Dopo tutto, una volta che Apple viene a conoscenza di un ID sviluppatore utilizzato in modo fraudolento, disabilita l’ID e nel processo terminano tutte le applicazioni create da tale sviluppatore.

Gatekeeper non è perfetto, e in futuro ci sarà probabilmente preoccuparsi di cose come le credenziali di sviluppatore rubate, e i malware con distribuzione molto limitata e strettamente mirati. Gli eseguibili criptati potrebbero facilmente adattarsi a queste tecniche come metodo di offuscamento supplementare. Ma il malware criptato non dovrebbe comunque destare grande preoccupazione per chi utilizza Gatekeeper come suggerito.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper