Malware su Mac : i riscontri

Alzino la mano tutti quelli che almeno una volta hanno sentito dire : “Beh con il Mac, non prendi i Virus”!
Beh se a me avessero dato 1€ ogni volta che ho sentito questa frase, oggi sarei ricco.
Duole infrangere questa miliare certezza su cui molti consumatori fondavano il dispiacere di dover spendere cifre astronomiche per comprarsi il sottile Pc con la mela.


Seppur benfatto macOS è un sistema operativo come un altro, è solo strutturato in modo più sicuro, ma ha anch’esso le sue debolezze.

Nell’ambito di una recente ricerca che ho condotto e approfondito ho rilevato riscontri circa la scoperta riguardante un malware per sistemi macOS distribuito mediante un sedicente programma per “crack” di Adobe Zii (suite Adobe per MAC), al momento riscontrato in due casi simili.

Ma facciamo un passo indietro, l’affermazione di inzio articolo è vera?
La risposta è No. O meglio, non è propriamente esatta, ma l’argomentazione è abbastanza strutturata e merita approfondimento:

OS X è un sistema operativo Unix-Based (bastao su Unix), tali sistemi risultano essere molto più sicuri dei sistemi Windows per la loro logica di permessi associata agli utenti.

Nei sistemi Unix-Based, ad ogni file o cartella (anche se la definizione di cartella in ambito unix non è corretta) possono essere associati 3 tipi di permessi (e la loro relativa negazione):

– Lettura: indicata con una “r”;
– Scrittura: indicata con una “w”;
– Esecuzione: indicata con una “x”.

La presenza o meno della “lettera” identificativa associa il relativo permesso. A questo va aggiunto il concetto della tripletta “UGO“: User, Group, Other.

Cerchiamo di comprenderlo con un esempio:

Il file daniele.txt presenta i seguenti campi.

Campo 1: Serve al sistema per capire se sia un File o una Directory
Campo 2: Permessi assegnati al proprietario del file
Campo 3: Permessi assegnati al gruppo (cui potranno far parte più utenti)
Campo 4: Permessi assegnati a tutti gli altri

Nel nostro esempio, sappiano che: si tratta di un file (1) , il proprietario può leggere e modificare il file (dan rw-) , gli utenti appartenenti allo stesso gruppo e tutti gli altri utenti (che non fanno parte del gruppo “staff”) possono solamente leggerlo.

Compreso questo concetto sui file, lo estendiamo a tutto il sistema operativo. Quando avviamo la prima volta il sistema operativo, andremo a creare un nostro primo utente, per definizione, questo utente sarà anche amministratore del sistema e questo vuol dire che l’utente appena creato avrà anche i permessi di modificarne i file.
Non trattandosi, però, dell’utente “root“ (super-user), il sistema richiederà di inserire la password utente per consolidare eventuali modifiche.
L’esempio più lampante della necessità di inserire la password è sicuramente Preferenze di Sistema : alcune aree, lo avrete notate, hanno un “lucchetto” che deve essere sbloccato inserendo la password.
Questo perché le modifiche avranno effetto sull’intero sistema.

Un sistema operativo Unix-Based, infatti, non permette di modificare elementi che abbiano effetti sull’intero sistema operativo, senza averne i privilegi. Questi privilegi vengono controllati inserendo, appunto, la password.

Ora che abbiamo compreso come lavora il nostro Mac, almeno se con informazioni minimali, possiamo anche capire come rispondere alla domanda iniziale: il Mac prende virus?

La risposta è Si, se l’utente non fa attenzione.

Il virus è un programma. Un programma deve essere eseguito: non importa cosa esso faccia, quando il virus viene eseguito, se va ad intaccare componenti di sistema operativo, OS X richiederà la password dell’utente amministratore.
Alcuni malware non intaccano tutto il sistema operativo: in questo caso, purtroppo, non verrà richiesta nessuna password, in quanto siamo già autenticati per poter lavorare su tutti i file ed impostazioni afferenti al nostro utente.

Fatto questo doveroso escursus torniamo ai due casi di malware su macOS riscontrati:

Nel primo caso si tratta di un documento *.docm (file di Word con Macro) che si presenta come testo estratto da un “BitcoinMagazine”. Le macro malevole ivi contenute sono capaci di aggirare le restrizioni delle sandobox di macOS e di scaricare mediante uno script in Python una backdoor Meterpreter.

L’altro caso riguarda un’applicazione che si spaccia per un Messenger adottato da giocatori online, chiamato Discord. Di fatto l’applicazione non fa nulla per trarre in inganno le vittime; una volta aperta, avvia lo script Automator che decodifica un payload in Python capace di rubare screenshot. Nel suo codice è contenuto anche il setup della backdoor Empyre.
Tutti e tre i malware presentano alcune similitudini nel codice che tuttavia non sono sufficienti a sostenere un’attribuzione comune.

  1. Quando lanciate un programma, e questo vi chiede la password, fate sempre attenzione prima di inserirla e chiedetevi se effettivamente deve avere effetto o no su tutto il sistema;
  2. Create un secondo utente, senza privilegi di amministratore, con cui lavorare normalmente: se il virus chiederà la password, voi non potrete installarlo. Inoltre, se non dovesse chiedere la password, i danni li farà unicamente su questo utente. Basterà loggarsi con utente amministratore ed eliminare l’utente e la sua home directory;
  3. Fate attenzione cosa scaricate e da dove: conosciamo bene quali siti siano sicuri e quali meno;
  4. Attenzione alle mail: molti virus si propagano proprio tramite mail. Controllate sempre il mittente ed eventuali link (basta un semplice copia e incolla su un file di testo per vedere l’URL che richiamerà);
  5. Attivate Time Machine: male che vada potrete tornare indietro all’ultimo backup utile.

Come sempre, basta un pò di accortezza nelle cose e si eviteranno molti problemi.

Come al solito a disposizione per ogni possibile dubbio o approfonidimento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *