Il malware OSX/Linker sfrutta le vulnerabilità dei Mac

Gli hacker hanno sfruttato una vulnerabilità del sistema MacOS, in particolare di Gatekeeper (che paradossalmente dovrebbe proteggere gli utenti controllando la firma digitale delle applicazioni!)  e stanno attivamente sviluppando malware che lo violano.

Il nuovo malware è stato nominato OSX/Linker ed è stato collegato allo stesso gruppo che gestisce l’adware Surfbuyer, secondo un’indagine condotta da Joshua Long, Chief Security Analyst per il produttore di software di sicurezza Intego per Mac.

Come è stato attaccato Gatekeeper

Il nuovo malware OSX/Linker utilizza un difetto di sicurezza presente in Gatekeeper, il sistema di sicurezza macOS che scansiona e approva le app in esecuzione scaricate da Internet.

A fine maggio 2019, il ricercatore della sicurezza Filippo Cavallarin ha rivelato un bug in Gatekeeper che avrebbe consentito a un codice malevolo scaricato da Internet di aggirare il processo di scansione di Gatekeeper.
Il trucco consisteva nel creare un link simbolico all’interno di un file di archivio e il collegamento simbolico a un server NFS (Network File System) controllato dagli hacker.

Cavallarin ha scoperto che Gatekeeper non esegue la scansione di questi tipi di file e consente agli utenti di eseguire i collegamenti simbolici. Se i collegamenti simbolici sono malevoli, gli autori di attacchi potrebbero eseguire codice dannoso sui sistemi macOS delle vittime.

Sono interessate tutte le versioni di macOS, incluso l’ultimo aggiornamento 10.14.5, e Apple non ha ancora rilasciato una patch fino ad oggi, un mese intero dopo la divulgazione pubblica di Cavallarin.

Ma se Apple non sembrava preoccuparsi di questo bug, sicuramente gli autori di malware lo hanno fatto, e all’inizio di giugno sono stati scoperti campioni di malware che stavano testando vari metodi attraverso i quali abusare del bypass di Gatekeeper per la distribuzione di malware.

Gli esempi di malware sembravano test, ma erano firmati con certificati precedentemente utilizzati dalla banda di adware Surfbuyer.

Tutti i campioni del malware Linker sono stati camuffati come programmi di installazione di Adobe Flash Player, come abbiamo già ribadito più volte sul sito, è uno dei modi più comuni con cui i creatori di malware ingannano gli utenti Mac per installare malware o pubblicità.

Questa non è la prima volta che Intego scopre che il malware abusa di un bypass di Gatekeeper per aggirare le difese di macOS. Nel febbraio 2018, Intego ha anche scoperto che una nuova versione del malware OSX/Shlayer stava abusando di un bypass di Gatekeeper per infettare gli utenti di macOS.

Come difendersi

Apple sta tardando a rilasciare una patch per risolvere la vulnerabilità di Gatekeeper,  è però possibile soprattutto in ambito aziendale, bloccare le comunicazioni verso indirizzi IP esterni e soprattutto non aprire mai allegati di e-mail provenienti da indirizzi sconosciuti, e non dovremmo eseguire file di cui non abbiamo l’assoluta certezza di affidabilità (tipicamente chiavettew usb o hard esterni di amici o colleghi).

Installare un antivirus

In attesa dell’uscita della patch che risolverà la questione e bloccherà i tentativi, e sarà resa disponibili tramite i consueti aggiornamenti, è opportuno avere sempre attivo in memoria un valido antivirus, qui puoi vedere la nostra comparativa e quelli consigliati a seconda del tuo utilizzo.

Prova Mackeeper l’antivirus pensato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeper Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *