E’ trascorso poco più di un mese dalla pubblicazione di due ricerche, l’una elaborata da F-Secure, l’altra da G DATA, che fotografavano il quadro legato alla diffusione di malware in ambiente Mac OS X (ved. questo nostro articolo). I numeri sono ancora del tutto imparagonabili a quelli che contraddistinguono la piattaforma Windows ma sarebbero la spia di qualcosa che sta cambiando: la maggior diffusione di nuove minacce andrebbe ormai di pari passo con la conquista delle quote di mercato da parte di Mac OS X (secondo NetApplications, Windows deterrebbe circa il 92% delle quote mentre Mac OS X viene accreditato del 6,39%).
Proprio in questi giorni una nuova minaccia starebbe bussando alla porta degli utenti Mac: come spiegano gli esperti di Intego, un gruppo di criminali informatici ha posto in circolazione una variante del già conosciuto malware Flashback. Essa utilizza due metodologie per cercare di infettare il sistema Mac del “malcapitato”: in primis, si cerca di sfruttare una coppia di vecchie vulnerabilità di sicurezza oppure di provocare l’installazione di un’applet Java malevola. Quest’ultima, cerca di indurre l’utente meno attento a ritenere che il certificato relativo a tale applicazione sia di proprietà di Apple quando, in realtà, trattasi di un documento palesemente fasullo.
Qualora sul sistema Mac fosse installata una versione obsoleta di Java, la variante di Flashback è capace di installarli autonomamente senza alcun intervento da parte dell’utente. Viceversa, qualora venisse utilizzata una versione aggiornata di Java (Apple ha rilasciato un update risolutivo a novembre 2011), l’utente dovrebbe necessariamente accettare il certificato digitale fasullo per consentirne l’installazione.
Secondo le prime analisi, il malware Flashback.G si asterrebbe dall’infettare i sistemi Mac OS X ove siano presenti specifiche versioni di prodotti antivirus. I ricercatori di Intego riferiscono che la maggior parte degli attacchi sarebbe andato a buon fine sui sistemi Mac OS X 10.6 dal momento che sulla versione 10.7 “Lion” il pacchetto Java non è abilitato in modo predefinito ma deve essere caricato manualmente dagli utenti.
Il malware si conferma comunque molto pericoloso: una volta “preso possesso” del sistema, Flashback è in grado di sottrarre le credenziali d’accesso utilizzate per fruire dei vari servizi online. Tali informazioni vengono poi trasmesse, attraverso la Rete, ai criminali informatici.