Sono in tanti a ritenere, erroneamente, che i sistemi macOS siano immuni dai malware: per la prima volta in assoluto, unica tra le aziende specializzate nella sicurezza informatica, Check Point Software Technologies ha raccolto tutti i malware per macOS ad oggi noti stilando una sorta di enciclopedia.
La MacOS Malware Pedia consultabile cliccando qui contiene i dettagli tecnici su ogni minaccia che affligge i sistemi della Mela.
Anche se i malware per i sistemi macOS sono meno evoluti rispetto alle minacce progettate per Windows in quanto a complessità e numero di infezioni, col passare del tempo lo scenario sta gradualmente mutando.
Le quote di mercato di cui godono i sistemi Apple (circa il 10% a marzo 2019 secondo NetApplications) sono diventate interessanti anche nell’ottica dei criminali informatici.
Gli esperti di Check Point prevedono che nei prossimi anni su macOS si registri una crescente diffusione di nuove minacce.
Tra i vari malware progettati per macOS presenti nella “malware pedia“, Pierluigi Torriani – Security Engineering Manager Italy di Check Point Software Technologies – ne individua due tra i più interessanti e pericolosi:
– CreativeUpdate. Un cryptominer segnalato per la prima volta il 1° febbraio 2018 che si presenta, almeno a una prima sommaria occhiata, come un programma legittimo. Dotato anche di un certificato digitale legittimo, CreativeUpdate veniva “pubblicizzato” attraverso MacUpdate e scaricava tutti i suoi componenti da un dominio che “scimmiottava” gli URL ufficiali Mozilla.
– Flashback. Scoperto per la prima nel 2011 è un trojan con funzionalità backdoor integrate. Allo stato attuale Flashback è probabilmente il malware per macOS più diffuso avendo fatto registrare circa 500.000 infezioni.
Il malware si diffonde camuffandosi come un aggiornamento di Adobe Flash o come un’applet Java. Per auto-installarsi sul sistema degli utenti prova a sfruttare vulnerabilità note presenti in vari software.
Check Point evidenzia uno degli aspetti più interessanti di Flashback: una volta portata a termine l’infezione esso utilizza tecniche di offuscamento. Lo stesso eseguibile non può essere eseguito su altre macchine tranne che su quella precedentemente infettata. La struttura dei dati viene crittografata utilizzando l’UUID della macchina e l’algoritmo di cifratura RC4. Il malware utilizza anche DGA, un algoritmo per generare l’URL del dominio al quale deve collegarsi: essendo basato sulla data, viene resa più complessa l’individuazione dei server C&C da parte di tecnici specializzati.