Il subdolo malware semplice che colpisce milioni di Mac


Il malinteso popolare secondo cui i Mac non ottengono virus è diventato molto meno popolare negli ultimi anni, poiché i dispositivi Apple hanno superato la loro giusta dose di bug. Ma è ancora sorprendente che il malware più prolifico su macOS – per un conteggio, che colpisce uno su 10 dispositivi – sia così relativamente rozzo.

Questa settimana, la società antivirus Kaspersky ha dettagliato le 10 minacce più comuni che i suoi utenti macOS hanno incontrato nel 2019. In cima all'elenco: lo Shlayer Trojan, che ha colpito il 10 percento di tutti i monitor Kaspersky dei Mac, e ha rappresentato quasi un terzo dei rilevamenti complessivamente. Ha guidato il gruppo da quando è arrivato per la prima volta a febbraio 2018.

Penseresti che tale prevalenza potrebbe essere raggiunta solo con raffinatezza comparabile. Non così! "Da un punto di vista tecnico, Shlayer è un malware piuttosto ordinario", Kaspersky ha scritto nella sua analisi. In realtà, si basa su alcuni dei trucchi più antichi nei libri: convincere le persone a fare clic su un link errato, quindi spingere un falso aggiornamento di Adobe Flash. Anche il payload del trojan risulta essere un vero e proprio ronzio: adware per varietà da giardino.

Lo splendore di Shlayer, a quanto pare, risiede meno nel suo codice che nel suo metodo di distribuzione. Secondo quanto riferito, gli operatori dietro il trojan offrono ai proprietari di siti Web, YouTuber e redattori di Wikipedia un taglio se spingono i visitatori verso un download dannoso. Un dominio complice potrebbe richiedere un falso download di Flash, mentre un collegamento abbreviato o mascherato nella descrizione di un video di YouTube o nella nota di Wikipedia potrebbe iniziare lo stesso. Kaspersky afferma di aver contato oltre 1.000 siti partner che distribuiscono Shlayer. Un individuo, afferma Kaspersky, attualmente possiede 700 domini che reindirizzano alle pagine di destinazione dei download di Shlayer.

"La distribuzione è una parte vitale di qualsiasi campagna di malware e Shlayer dimostra che le reti di affiliazione sono piuttosto efficaci in questo senso", afferma Vladimir Kuskov, responsabile della ricerca avanzata sulle minacce e della classificazione del software presso Kaspersky.

Mentre Shlayer è semplice, l'adware che installa, una grande varietà, poiché Shlayer stesso è solo un meccanismo di consegna, può distribuire almeno uno o due trucchi modestamente intelligenti. In un'istanza di adware Cimpli osservata da Kaspersky, il malware si pone come un altro programma, in questo caso Any Search. In background, Cimpli tenta di installare un'estensione Safari dannosa e genera una finta finestra di notifica "Installazione completata" per nascondere la notifica di sicurezza di macOS che ti avvisa di non farlo. Ti induce, in altre parole, a concedere l'autorizzazione a lasciarlo girare sul tuo dispositivo.

Una volta fatto, l'attaccante può sia intercettare le tue query di ricerca sia seminare i risultati con i propri annunci. È un fastidio, più che altro. Ma dato che oltre 100 milioni di persone usano macOS e colpisce almeno il 10 percento di quelli con Kaspersky installato, è ragionevole supporre che milioni di utenti Mac lo gestiscano ogni anno. Non è chiaro quanti ne infetti effettivamente; un temporale fa piovere su molte case, ma solo una manciata. Ma anche se solo una piccola percentuale di questi tentativi ha esito positivo, è apparentemente abbastanza per continuare l'operazione.

"Apple fa un ottimo lavoro rendendo il proprio sistema operativo sempre più sicuro con ogni nuova versione", afferma Kuskov. "Ma è difficile prevenire tali attacchi a livello di sistema operativo, poiché è l'utente che fa clic su un collegamento e scarica Shlayer ed esegue, come qualsiasi altro software."

Mentre Flash potrebbe sembrare un'esca obsoleta, dati i numerosi avvertimenti pubblici sulla sua fallibilità e sul fatto che quest'anno si sta esaurendo completamente quest'anno, in realtà è perversamente efficace.

"Penso che il motivo per cui i falsi Flash Player abbiano così tanto successo, nonostante questi fatti, è duplice", afferma Joshua Long, capo analista della sicurezza di Intego, che ha scoperto per la prima volta Shlayer quasi due anni fa. "Forza dell'abitudine e mancanza di consapevolezza dell'attuale stato di Flash."

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *