Il trojan Crisis colpisce i Mac sfuggendo agli antivirus

La società Intego ha annunciato la scoperta del virus Crisis (o Morcut) la più recente di una serie di virus appositamente studiati per infettare i Mac OS X; il virus è stato progettato per sfuggire a molte pratiche standard di rilevazione virus, bypassando le caratteristiche di sicurezza di OS X mentre si installa senza alcuna interazione da parte dell’utente.

Il malware per Mac utilizza tecniche sofisticate di antianalisi che sono rare a vedersi tra le minacce informatiche OS X, ma sono stati un punto di forza del panorama del malware di Windows per diversi anni.

Il codice malware di Crisis richiama l’indirizzo IP 176.58.100.37 ogni cinque minuti e a quel punto riceve sempre nuove istruzioni.
Perché il virus non richiede all’utente di immettere una password ed è resistente al riavvio continuerà a funzionare fino a quando non sarà rilevato e rimosso.
Intego avverte, inoltre, che una volta installato su un account utente con i permessi di root, il programma installa programmi aggiuntivi in grado di nascondersi.

Per combattere il virus che è difficile da individuare le società antivirus hanno aggiornato i loro software per proteggere gli utenti Mac contro l’attacco.

Il malware, che è un trojan, viene distribuito in un file di archivio Java che finge di essere Adobe Flash Player, il nome esatto è AdobeFlashPlayer.jar, l’applet WebEnhancer capisce se un utente che apre il file in esecuzione è Microsoft Windows o Apple Mac OS X prima di premere di attivare il corrispondente malware.

Se eseguito su un sistema OS X il malware si scinde in più componenti ( crea 17 file quando viene eseguito con autorizzazioni di amministratore, 14 file quando viene eseguito senza, molti di questi sono con nome casuale, ma ci sono alcuni che sono ricorrenti.) e ricrea le impostazioni di sistema riconfigurando e installando una backdoor sulle macchine infette.

Il più preoccupante aspetto è che non è attualmente riconosciuto come malware da nessuno dei motori antivirus su VirusTotal. Ciò è dovuto evidentemente, al fatto che il codice della nuova variante è stato compresso con MPRESS. Con questo trucco, comprimendo il codice maligno si nasconde decisamente meglio dai software antivirus, impedendo che venga rilevato dalla scansione in temo reale.

A causa di questo offuscamento del codice eseguibile, è impossibile sapere da quanto tempo questo è stato nuovamente diffuso; e potrebbe essere stato in uso attivo per un bel po ‘di tempo prima di essere scoperti dalla comunità della sicurezza, semplicemente perché è solo utilizzato su un numero limitato di bersagli da tenere d’occhio.  Questa variante di Crisis avrebbe potuto essere in giro già da più di un anno, anche appena dopo che la prima versione è stata rilevata da parte della comunità di sicurezza informatica.

Questo trojan non è probabilmente qualcosa di cui l’utente Mac medio deve preoccuparsi direttamente, ma per coloro che hanno subito le attenzioni di un’organizzazione che li ha spiati, occorre visualizzare l’elenco dei file trovati su un sistema infetto che Intego pubblicato nel suo rapporto.

Conosci CleanMyMac? scopri la migliore soluzione per tenere in ordine il Mac!
scarica la versione free

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto