Sebbene spesso venga considerato impenetrabile, è stata scoperta una nuova minaccia per macOS che ruba in modo subdolo le credenziali bancarie, aggira Gatekeeper e disabilita i tentativi di rimuoverlo. Scopri di più in questo articolo.
Gli utenti dei dispositivi Mac non sono più al sicuro come pensavano: c’è un nuovo malware in giro che infetta questi dispositivi, imita i siti web delle banche e ruba le credenziali dell’utente. È un malware pericoloso che scava in profondità nella configurazione di macOS per impedirne la rimozione.
I casi rilevati negli ultimi mesi sono aumentati ed è probabile che diventi più di una minaccia a causa delle attività aggressive di acquisto di certificati Apple dei creatori del malware.
I computer Apple sono generalmente considerati più sicuri delle controparti Windows, ma questo malware sta dimostrando che nessuno è esente dai problemi di sicurezza dell’era moderna.
Cosa fa questo malware
Inizialmente, questo nuovo malware venne rilevato nel maggio del 2017. All’epoca si pensava solo che spiasse il traffico web e rubasse le credenziali del sito, ma questa mutazione scoperta solo di recente, ha evidenziato come il nuovo malware stia reindirizzando il traffico a un server C&C che falsifica/imita le pagine di accesso della propria banca nel tentativo per raccogliere informazioni sugli utenti.
Quando un computer viene infettato, il malware si mette al lavoro disabilitando gli aggiornamenti di sicurezza e reindirizzando il traffico dai server Apple al computer locale. In questo modo il malware si nasconde e impedisce gli aggiornamenti che possono rimuoverlo o interromperne il funzionamento.
Dopo l’incorporamento, il malware scarica TOR e stabilisce una connessione attraverso il dark web al suo server C&C, a cui accede utilizzando il routing Onion. Il malware utilizza anche TOR per tracciare la posizione fisica dell’indirizzo IP del computer infetto al fine di personalizzare il suo attacco. Una macchina infetta dalla Svizzera, ad esempio, aveva una configurazione proxy che reindirizzava i siti web di banche svizzere comuni a un proxy locale e quindi al server C&C.
Il server C&C contiene una varietà di siti web di false banche che tentano di indurre l’utente ad accedere, oltre a scaricare un’app mobile e fornire il proprio numero di cellulare. Inoltre, richiede all’utente di installare un’app di messaggistica sicura nota come Signal, sebbene nessuno sappia ancora quale sia il suo scopo.
Il malware è anche in grado di bypassare GateKeeper, progettato per interrompere le installazioni da app che non dispongono di un certificato Apple. Qui puoi trovare antivirus per Mac però che possono aiutarti a rilevare la minaccia.
Gli sviluppatori del malware lo stanno facendo acquistando enormi quantità di certificati e allegandoli al malware. Apple li sta cancellando non appena scopre quali sono stati compromessi, ma ne sta scoprendo di nuovi ogni giorno.
L’unico punto a favore dell’utente
Non c’è molto di buono da dire su questo malware piuttosto sofisticato tranne che per una cosa: si sta diffondendo attraverso e-mail di phishing e richiede all’utente di scaricare ed eseguire un eseguibile per installarlo. Finché gli utenti non si innamorano del file, non c’è nulla di cui preoccuparsi.
Spetta ai professionisti dell’IT rendere gli utenti consapevoli di minacce come questo malware, che non ha la capacità di diffondersi quando un utente non è indotto a installarlo. Una volta che l’infezione si impadronisce di un computer, è un problema completamente diverso e molto più complicato.
Apple potrebbe continuare a revocare i certificati compromessi da questo malware evoluto, ma deve ancora emettere un aggiornamento di sicurezza che gli impedirà di aggirare Gatekeeper.
Assicurati di mantenere aggiornate tutti i dispositivi macOS sulla tua rete e di tenere d’occhio quelle che non sono in grado di farlo: quelle macchine potrebbero essere già infette.
I tre principali suggerimenti per i nostri lettori
- Una nuova forma più pericolosa del malware sta infettando i dispositivi macOS. Il suo obiettivo è rubare le credenziali del tuo conto bancario.
- Il malware è in grado di aggirare macOS Gatekeeper utilizzando certificati per sviluppatori rubati. Apple revoca i certificati non appena viene a conoscenza del loro furto, ma ogni giorno ne vengono scoperti di nuovi.
- Le macchine vengono infettate tramite una campagna di phishing che richiede agli utenti di scaricare un file zip che contiene un eseguibile infetto. I professionisti dell’IT dovrebbero informare i propri utenti dell’epidemia in corso e assicurarsi di non aprire messaggi sospetti.