Il Kaspersky Lab ha da poco pubblicato un rapporto di 68 pagine su un nuovo virus multipiattaforma che è stato attivo dal 2011 chiamato Icefog, questo malware è stato utilizzato in attacchi mirati di spionaggio in Asia, soprattutto in Giappone e Sud Corea. Colpisce sia Mac OS X che Windows, anche se la versione per Mac sembra essere nuova, e installa una backdoor che comunica con un server di comando e controllo per le istruzioni.
La variante per Mac, icefog1, di questo malware si inserisce come un programma di grafica chiamato “Img2icns”; questa applicazione non è firmata da uno sviluppatore registrato, quindi sarà immediatamente bloccata se Gatekeeper è impostato per impedire l’esecuzione di tali applicazioni.
Gli utenti che non hanno in esecuzione Mac OS X 10.8.x (Mountain Lion) o che hanno disattivato Gatekeeper, saranno purtroppo esposti al malware, ad oggi infatti non viene rilevato come malware da XProtect. Una volta aperta, l’app non richiede una password di amministratore, e appare sorprendentemente professionale. Il malware chiederà all’utente se spostare l’applicazione nella cartella Applicazioni, e chiederà anche se controllare gli aggiornamenti automaticamente.
L’interfaccia è pulita e punta a sembrare simile a una qualsiasi applicazione legittima, ma esaminando attentamente il pacchetto di applicazioni, sembra che l’app dannosa contenga una copia completa dell’applicazione Img2icns, che viene rilasciato mentre il malware procede a fare i suoi danni al sistema.
Tutti questi sotterfugi servono naturalmente per mascherare il vero scopo dietro l’app! Mentre l’utente sta interagendo con l’applicazione Img2icns, il malware installa un app chiamata “Launchd.app” nella cartella home dell’utente, che lo rende invisibile per default. Si installa anche un LaunchAgent denominato “apple.launchd.plist” nella Libreria dell’utente nella cartella LaunchAgents. Questo LaunchAgent mantiene il processo “.Launchd.app” in esecuzione.
In questo momento, questo malware non è una minaccia grave per gli utenti di Mountain Lion, mentre gli utenti di Snow Leopard (Mac OS X 10.6) e saranno protetti una volta che Apple abbia aggiunto una definizione per questo malware al sistema XProtect (anche se al momento, inizio ottobre non è stato ancora aggiornato nonostante le richieste degli utenti). Purtroppo se avete un vecchio sistema Snow Leopard non avrete una protezione integrata contro questo malware.
Inoltre altre due applicazioni vengono imitate da questa minaccia informatica: AppDelete oppure questo più professionale. Ovviamente le applicazioni originali non sono affatto malware! ma come al solito bisogna essere attenti da dove si effettua il download dei programmi!
