Nuovo malware su macOS, è colpa di Flash Player

Un nuovo malware, precisamente si tratta di una backdoor, è arrivato su macOS. Il malicious software era già stato scoperto in passato sul sistema operativo Windows, ma non era mai stato ritrovato sui Mac. Per funzionare, il malware si nasconde dietro una falsa installazione di Adobe Flash Player, con la quale riesce ad ottenere tutti i permessi per annidarsi in alcune cartelle persistenti del sistema macOS, così da essere difficile da individuare ed eliminare.

Gli sviluppatori del malware sono riusciti ad ottenere i certificati ufficiali degli sviluppatori Adobe. In particolare, questi certificati sono stati creati per aiutare a convalidare le applicazioni con Gatekeeper. È il secondo caso in una settimana.

Cos’è un malware di tipo “backdoor”?

Logo creativo di una backdoor. Source: privatoria.net

Letteralmente “porta sul retro”, una backdoor è un tipo di malware utilizzato per il bypass di sistema operativi, sistemi di autenticazione o firewall per la protezione di rete. Non esiste un linguaggio di programmazione dedicato allo sviluppo di backdoor. Lo scopo è quello di accedere ad un dispositivo collegato alla rete, da remoto. Inizialmente le backdoor vennero sviluppate solo per i Personal Computer, adesso ne esistono di varie anche per sistemi operativi mobili, sopratutto per Android.

Questo tipo di malware può essere presente in un software, come nel caso di cui stiamo parlando in questo articolo, sia in un componente hardware quali:

  • Apparati di rete
  • Sistemi di sorveglianza
  • Dispositivi di infrastruttura di comunicazione

Snake malware ed il caso macOS

Screenshot del malware su macOS. Source: 9to5mac.com

Come riportato da Malwarebytes, il nome del malware in questione è Snake. Quest’ultimo era già stato rilevato nei sistemi Windows nel lontano 2008 e, successivamente, era stata rilevata una sua variante nei sistemi Linux nel 2014. Secondo Fox-IT ha “una struttura relativamente complessa” e non viene utilizzato per una distribuzione casuale, ma per attacchi mirati.

I ricercatori che hanno precedentemente analizzato le situazioni in cui è stato utilizzato Snake, ed hanno attribuito ad esso alcuni attacchi verso la Russia. Rispetto ad altri attaccati precedenti con presunti legami con la Russia, il codice di Snake è molto più sofisticato. È l’infrastruttura più complessa che abbiamo visto finora ed ha obiettivi accuratamente selezionati.

Sono le parole estrapolate da un documento di una ricerca realizzata dallo Swiss government’s Computer Emergency Response Team.

Screenshot del file .zip su macOS. Source: 9to5mac.com

Il file dannoso è contenuto in un .zip dal titolo Adobe Flash Player.app.zip. La versione di Flash Player contenuta nel file è perfettamente funzionante e legittima, ma al suo interno è presente la backdoor. L’installazione non è bloccata perché gode dei certificati ufficiali, rilasciati da Apple ad Adobe per i suoi software. La firma però è di Addy Symonds e non di Adobe.

Screenshot della cartella Contents su macOS. Source: 9to5mac.com

Una volta installato, il malware va a posizionarsi nelle seguenti cartelle:

  • /Library/Scripts/queue
  • /Library/Scripts/installdp
  • /Library/Scripts/installd.sh
  • /Library/LaunchDaemons/com.adobe.update.plist
  • /var/tmp/.ur-*
  • /tmp/.gdm-socket
  • /tmp/.gdm-selinux

Per vedere se il Mac è infetto, si può effettuare una scansione con Malwarebytes per Mac o controllare manualmente nelle cartelle sopraelencate. In caso di infezione, la stessa Malwarebytes consiglia di cambiare le password e contattare l’assistenza Apple.

 

Published by
Angelo Falcone