Un trojan per Mac usa una nuova tattica per aggirare la sicurezza di macOS

I ricercatori di sicurezza dell’azienda antivirus Intego hanno scoperto un nuovo malware su Mac che riesce a bypassare le moderne protezioni di sicurezza delle app di OS X, aggirando anche le restrizioni di sicurezza dell’ultimo macOS Catalina.

In macOS Catalina, Apple ha introdotto nuovi requisiti di autenticazione delle app.
Le funzionalità integrate in Gatekeeper, scoraggiano gli utenti dall’apertura di app non verificate, e richiedono agli autori di malware di diventare più creativi con le loro tattiche.

Ad esempio, i ricercatori di Intego hanno scoperto un nuovo trojan che si diffonde tramite risultati di ricerca di Google che inducono gli utenti a bypassare quelle stesse protezioni.

Il malware viene fornito come immagine disco .dmg mascherato da programma di installazione Adobe Flash, una tattica molto diffusa già in passato e di cui abbiamo già parlato.
Ma una volta installato sul computer di un utente, visualizza le istruzioni che guidano gli utenti attraverso il processo di installazione dannoso.

Come agisce il nuovo malware

Secondo i ricercatori di Intego, il malware chiede agli utenti di fare clic con il tasto destro e aprire il malware invece di fare doppio clic su di esso.
In base alle impostazioni di macOS Catalina Gatekeeper, viene visualizzata una finestra di dialogo con un pulsante “Apri”. Normalmente, quando si fa clic su un file non verificato, Apple non consente agli utenti di aprirli in modo da evitare problemi.

Normalmente macOS scoraggia gli utenti dall’aprire app non verificate rendendo il processo più difficile.
In particolare, costringendo gli utenti ad accedere alle Preferenze di Sistema per sovrascrivere Gatekeeper.
La strategia permette agli hakcer di non fare nessuna registrazione per un account Apple Developer, rendendo l’attacco più facile.

Una volta che gli utenti aprono l’app di installazione, viene eseguito uno script shell bash che estrae un file .zip protetto da password che contiene un pacchetto di app dannose.
Sebbene inizialmente installi una versione legittima di Flash, Intego nota che può anche essere utilizzato per scaricare “qualsiasi altro malware per Mac o pacchetto adware”.

È interessante notare che il malware è stato diffuso tramite i risultati di ricerca di Google che reindirizzano gli utenti a pagine Web dannose affermando che il Flash Player di un browser non è aggiornato.
Intego ha aggiunto che finora il malware è stato in grado di evitare il rilevamento da parte della maggior parte dei software antivirus.

Le parti dannose effettive del malware sono varianti riprogettate dei trojan macOS precedenti, come Shlayer o Bundlore.

Chi è a rischio e come evitarlo
Anche se Adobe Flash Player verrà ritirato ufficialmente il 31 dicembre 2020, Intego osserva che il malware tende ad avere abbastanza successo tra gli ignari utenti. Lo Shlayer Trojan, ad esempio, infetta circa un utente Mac su 10.

Poiché il malware si sta diffondendo attivamente tramite i risultati di ricerca di Google, il rischio di essere compromessi è più elevato.
Intego osserva che appare quando gli utenti cercano i titoli esatti dei video di YouTube.

Gli utenti possono evitare questo malware semplicemente facendo clic sui collegamenti di cui si fidano assolutamente. Se un sito Web ti chiede di scaricare qualcosa non richiesto, non farlo!

Intego osserva che diversi domini – tra cui youdontcare.com, display.monster, yougotupdated.com e installerapi.com – sono stati associati a questa campagna. Qualsiasi traffico verso o da questi domini “dovrebbe essere considerato un possibile segno di infezione”, hanno detto i ricercatori.

Conosci CleanMyMac? scopri la migliore soluzione per tenere in ordine il Mac!
scarica la versione free

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto