martedì 19 giugno 2018

MAC sotto attacco: malware e nuove tecniche di attacco.


Sono moltissimi gli utenti convinti che i Mac siano macchine inattaccabili, del tutto a prova di virus. Ci tocca fare il grillo parlante: non è vero, purtroppo. Per essere onesti fino in fondo è innegabile che i malware di ogni tipo e genere pensati per Windows sono di gran lunga un numero superiore a quelli pensati per il Mac, ma ciò non significa che non ne esistano. I Mac sono stati per molto tempo essenzialmente esclusi dal mondo del cyber crimine per una ragione piuttosto semplice (oltre alla stabilità e sicurezza interna del sistema operativo): sono molto meno diffusi di Windows, quindi, banalmente, il numero di potenziali vittime di un cyber attacco è assai ridotto. Ora che invece anche i computer Mac stanno diventando più "di massa" di virus se ne affacciano eccome. Qualche esempio tra i più recenti...

1. Coldroot: inizia a essere diffuso nel Febbraio 2017, ma viene rilevato dagli antivirus soltanto un anno dopo. E' un keylogger per Mac pensato per inviare ad un server C&C comandato dagli attaccani ogni comando che viene digitato dall'utente sul pc. 


2. OSX/MaMi: individuato all'inizio del 2018, può dirottare i clic del mouse, modificare le impostazionio DNS dell'utente, fare screenshot, eseguire AppleScript, scaricare e caricare file (spesso altri malware), eseguire comandi arbitrari sulla macchina infetta. 

3. Proton: è un trojan individuato sul finire del 2017. E' pensato appositamente per il Mac e nel dettaglio ruba una grandissima quantità di informazioni sul sistema: il numero di serie, l'utente, le info sul gateway, tutte le applicazioni installate, eventuali informazioni su wallet di criptovaluta dell'utente ec...

4. FruitFly: fu scoperto all'inizio del 2017, ma era in circolazione, non individuato, da oltre 2 anni. E' sia una backdoor che uno spyware: fa screenshot dello schermo, intercetta e modifica le azioni di mouse e tastiera, può eseguire intercettazioni ambientali prendendo possesso di microfono e webcam ecc...

Una nuova tecnica per aggirare gli antivirus...
La novità, denunciata in una approfondita ricerca del ricercatore Josh Pitts, è l'individuazione di una nuova tecnica per garantire ad un malware per Mac di non essere individuato dai meccanismi di difesa del sistema operativo e degli antivirus. 

Apple ha un sistema di controllo delle app legittime che è tra i più efficaci esistenti e che, affiancato ad un buon antivirus, costituisce un solido sistema di difesa. Il sistema ha però una debolezza, sulla quale si basa appunto questa nuova tecnica di attacco: molti antivirus (sicuramente quelli non dotati di sistema di controllo comportamentale) verificano la dannosità o meno di un file basandosi solo sul certificato digitale. Detengono infatti una white list di certificati e tutti i file che presentano quei certificati sono ritenuti validi in maniera acritica. Il punto debole sta nei file di installazione per computer Mac, i cosiddetti Fat/Universal file: questi sono eseguibili particolari, che hanno più componenti al loro interno. Questo sistema a "matrioska" permette ad esempio di inserire versioni diverse di un software nello stesso file (ad esempio sia la versione a 32-bit che quella a 64-bit). Il problema è che il sistema di verifica del certificato digitale analizza soltanto il primo degli eseguibili incorporati nel file Fat/Universal. 

Il gioco quindi è facile: un cyber attaccante può "inserire" un malware in una posizione defilata entro un file Fat/Universal legittimo, così può bypassare la gran parte dei sistemi di sicurezza. 

Segnalato il problema, Apple ha ribadito che la responsabilità è dei singoli produttori di antivirus: la maggior parte degli antivirus ha quindi già risolto il problema dopo indicazione del ricercatore, ma la lista di antivirus "ciechi" potrebbe essere più lunga rispetto a quella pubblicata nella ricerca. 

Nessun commento:

Posta un commento