Se fino ad oggi Windows è stato un obiettivo preferenziale per chi sviluppa malware, il quadro – stando a quanto accaduto nelle scorse settimane – sembra sia almeno parzialmente mutato. Gli utenti di Mac OS X hanno dovuto subire quella che può essere considerata l’aggressione più ben congegnata nell’intera storia del sistema operativo di casa Apple. Come confermato da Dr. Web, prima, e da Kaspersky, poi, sarebbero già oltre 600.000 le macchine Mac OS X infettate dal trojan Flashback in tutto il mondo.
Gli autori di Flashback hanno posto in essere tutti gli espedienti possibili per fare in modo che l’infezione possa proliferare il più possibile sulla piattaforma della Mela. E, visti “i numeri” che stanno circolando in queste ore, sembra siano riusciti nell’intento. Già conosciuto sotto forma di diverse varianti, Flashback è tornato da qualche mese in una veste ancora più “aggressiva”.
All’inizio di aprile gli esperti di F-Secure avevano comunicato di aver isolato una variante di Flashback capace di far leva su di una vulnerabilità del pacchetto Java ancora rimasta irrisolta sulla piattaforma Mac OS X. Si tratta della medesima lacuna di sicurezza della quale abbiamo parlato in questa pagina e che Oracle ha provveduto a sanare a metà febbraio col rilascio dei pacchetti Java 6.0 Update 31 e 7.0 Update 3.
L’aggiornamento fornito ad inizio aprile da Apple si basava ancora sulla versione 6.0 Update 29 di Java – datata novembre 2011 – che è risultata vulnerabile agli attacchi. Flashback ha così potuto sfruttare proprio il ritardo nell’aggiornamento della piattaforma Java su Mac OS X provocando l’esecuzione di codice dannoso nel momento in cui l’utente si trovasse a visitare un sito web malevolo.
Per proteggersi, F-Secure aveva suggerito agli utenti di disabilitare temporaneamente la gestione di applet Java da Mac OS X facendo riferimento al menù Applicazioni, Utilità, Preferenze Java. Le caselle mostrate nella prima colonna della tabella, permettono infatti di disattivare l’esecuzione di materiale Java che dovesse essere presente nelle pagine web.
Flashback richiede all’utente di inserire la propria password amministrativa durante l’installazione ma prova comunque ad insediarsi sul sistema della vittima anche nel caso in cui non venisse introdotta alcuna credenziale. Le più recenti varianti del trojan Flashback evitano di caricarsi su quei sistemi ove sia rilevata la presenza di applicazioni per la sicurezza quali Little Snitch, VirusBarrier X6, iAntiVirus, ClamXav, HTTPScoop e Packet Peeper od, addirittura, lo strumento di sviluppo Apple Xcode. L’obiettivo è quello di insospettire gli utenti il meno possibile.
Scivolone da parte di Apple
Il CEO di Dr. Web, Boris Sharov, ha puntato il dito contro Apple accusandola di essersi comportata “in modo fastidioso”. Secondo Sharov, la Mela non avrebbe accettato le richieste di aiuto pervenute dalla stessa Dr. Web sottovalutando il problema Flashback ed anzi ponendo in essere un’operazione controproducente per gli interessi dell’azienda e degli utenti. Sharov rivela come Apple abbia tentato, nei giorni scorsi, di provocare la chiusura di un dominio di proprietà di Dr. Web che è stato allestito con l’unico scopo di valutare il fenomeno Flashback.
Le macchine Mac OS X infettate da Flashback, infatti, entrano automaticamente a far parte di una “botnet” controllata da un gruppo di criminali informatici che avrà poi la possibilità di installare nuovi malware e di porre in essere delle frodi. Le minacce installate successivamente all’infezione, infatti, alterano anche i risultati ottenuti operando delle ricerche con Google così come gli altri motori. In questo modo è possibile indirizzare le vittime verso siti malevoli e porre in essere vere e proprie truffe.
Dr.Web ha allestito un dominio “civetta” che, sulla base dell’algoritmo sul quale poggia il funzionamento di Flashback, è stato via a via contattato dalle macchine Mac OS X infette. La società russa ha sfruttato una peculiarità che accomuna i malware che collegano i sistemi a delle botnet. Flashback fa uso di un algoritmo per la generazione dei nomi dei siti web da contattare nel caso in cui i server “command-and-control” principali della botnet dovessero essere resi irraggiungibili (di questo argomento avevamo parlato in quest’articolo, nel caso della botnet Rustock). I tecnici di Dr. Web avevano allestito il dominio “civetta” per studiare la dimensione del fenomeno mentre Apple, senza approfondire la questione, aveva deciso di disporne il blocco.
Sharov, sebbene tra le righe riconosca come l’errore di Apple sia stato commesso in buona fede, ha dichiarato: “quanto successo dimostra che non considerano il nostro lavoro di loro aiuto. Abbiamo messo a disposizione tutti i dati che avevamo non ricevendo alcuna risposta“.
Rimozione di Flashback dai sistemi Mac OS X già infettati
Se Apple, attraverso una pagina pubblicata sul suo sito web ufficiale, ha comunicato l’imminente distribuzione di un programma capace di rilevare ed eliminare il trojan Flashback da tutti i sistemi Mac OS X infetti, Kaspersky ha giocato in anticipo. Il produttore di soluzioni antivirus ed antimalware ha infatti reso disponibile il “Flashfake Removal Tool“, un’applicazione che, eseguita sui sistemi a cuore Mac OS X, consente di disgnosticare la presenza di Flasback/Flashfake e procedere alla sua neutralizzazione.
I tecnici di Kaspersky hanno confermato le stime diffuse nei giorni scorsi da Dr.Web che facevano riferimento a qualcosa come 600.000 macchine Mac OS X già infette configurando quella presentatasi nelle scorse settimane come l’aggressione su più vasta scala sferrata nell’intera storia del sistema operativo di Apple.
Per evitare i rischi d’infezione, si ricorda da Kaspersky, è necessario mantenere sempre aggiornato il pacchetto Java e negare l’installazione di qualunque aggiornamento Flash sospetto che dovesse essere proposto visitando siti web all’apparenza “normali”.
Digitando il codice identificativo associato al proprio sistema Mac OS X (UUID) sul sito allestito da Kaspersky, si potrà verificare rapidamente se si fosse infetti. Gli esperti della società russa hanno infatti spiegato di aver studiato il funzionamento del malware che si collega al server della “botnet”: simulandone il comportamento, è possibile attingere al database delle macchine infette e quindi dei rispettivi UUID.
Proteggersi da qualunque futura minaccia in ambiente Mac OS X
All’incirca 100 milioni sono gli utenti Mac OS X su scala planetaria. Si tratta di un valore che è notevolmente cresciuto durante gli ultimi anni e che pare destinato ad aumentare. Secondo le ultime statistiche elaborate da NetApplications, gli utenti di Mac OS X sarebbero il 6,54% del totale (la fetta a favore di Windows è pari al 92,48%): è quindi assai probabile che, in forza della più ampia diffusione del sistema operativo Apple, nel prossimo futuro, chi scrive malware sia sempre più determinato a bersagliare anche la piattaforma della Mela.
Per mettersi al riparo da Flashback e dalle altre minacce che, verosimilmente, in futuro appariranno su Mac OS X, è bene seguire alcuni semplici suggerimenti. Esattamente come spesso viene ricordato nel caso della piattaforma Windows, è bene non lavorare servendosi sempre di un account dotato di diritti amministrativi.
Per le attività di ogni giorno, quindi, è consigliabile creare un account “standard” dai privilegi molto più limitati rispetto ad un utente amministratore. E’ sufficiente accedere alle Preferenze di sistema, cliccare sull’icona Account e creare un account “standard”.
Il secondo suggerimento che proviene dagli esperti di Kaspersky consiste nell’impiegare un browser che implementi un solido meccanismo di sandboxing. Il browser, al giorno d’oggi, deve essere la prima barriera contro gli attacchi informatici. Il software che si utilizza quotidianamente per “navigare” in Rete è diventato, col trascorrere del tempo e con l’evolversi del web, un oggetto sempre più complesso chiamato a supportare numerosi standard, molteplici formati, un numero elevatissimo di specifiche ed una pletora di contenuti tra loro completamente diversi.
Un software così complesso qual è il browser deve erigere una muraglia tra tutto ciò che è presente nelle pagine web ed il sottostante sistema operativo. Un browser che utilizza in modo efficace le moderne tecniche di “sandboxing” si rivela certamente molto più robusto e, quindi, più indicato per una navigazione in Rete sicura.
Kaspersky consiglia l’utilizzo di Google Chrome agli utenti di Mac OS X non solo per l’ottima sandbox utilizzata dal browser del colosso di Mountain View ma anche per ulteriori due aspetti-chiave: Chrome integra una versione di Flash Player che viene eseguita all’interno della sandbox ed, inoltre, l’applicazione viene aggiornata assai frequentemente, rimuovendo tutti i bug via a via scoperti.
Kaspersky suggerisce di impostare Google Chrome come browser web predefinito.
Anche le vulnerabilità presenti nell’implementazione Mac OS X di Adobe Flash Player sono spesso sfruttate per causare l’esecuzione di codice in modalità remota: caricando tutte le creatività Flash presenti nelle pagine web all’interno della sandbox di Chrome si sarà certi che eventuali oggetti malevoli non possano creare danni al resto del sistema.
Per tale motivo, è consigliabile disinstallare la versione di Flash Player installata su Mac OS X e concepita per tutti gli altri browser web in circolazione. Per disinstallare completamente Flash Player dal sistema Mac (lasciandolo solamente in Google Chrome), si potrà ricorrere a due comode utilità rilasciate da Adobe e scaricabili da questa pagina.
Per quanto riguarda il pacchetto Java, purtroppo Apple non consente ad Oracle di distribuire e permettere l’installazione diretta degli aggiornamenti sui sistemi Mac OS X. E’ Apple, periodicamente, a rendere disponibile gli update per il software Java ma ciò, a volte, accade a distanza di diversi mesi dal rilascio della nuova versione da parte di Oracle. Durante tale lasso di tempo, aggressori e criminali informatici hanno “vita facile”: basta a loro studiare le vulnerabilità sanate da Oracle e bersagliare gli utenti Mac sprovvisti dell’aggiornamento.
Per evitare di correre rischi, è possibile disattivare Java accedendo ad Applicazioni, Utilità, Preferenze Java quindi disattivando le caselle mostrate nella prima colonna della tabella:
Qualora si necessitasse del pacchetto Java per eseguire determinate applicazioni (spesso si tratta di software gestionali), il consiglio è quello di effettuarne la disabilitazione almeno dai vari browser web che si utilizzano.
Come accade in Windows è poi bene mantenere sempre aggiornati tutti i software che si utilizzano in ambiente Mac OS X. Di fondamentale importanza è quindi il frequente utilizzo della funzionalità Aggiornamento software del sistema operativo ed, ove possibile, Kaspersky caldeggia l’adozione delle versioni più recenti delle varie applicazioni. “Dal punto di vista della sicurezza, ad esempio, Office for Mac 2011 è assai più preferibile rispetto ad Office for Mac 2008“, scrive l’azienda russa. Anche Adobe Reader, qualora non si fosse ancora provveduto, dovrebbe essere aggiornato tempestivamente alla versione 10 che, essa stessa, include un meccanismo di sandboxing capace di “tenere a bada” eventuali documenti PDF maligni.