Il nuovo malware per Mac utilizza una tattica "nuova" per aggirare la sicurezza di macOS Catalina

I ricercatori di sicurezza dell'azienda antivirus Intego hanno scoperto un nuovo malware Mac in natura che induce gli utenti a bypassare le moderne protezioni di sicurezza delle app macOS.

In macOS Catalina, Apple ha introdotto nuovi requisiti di autenticazione delle app. Le funzionalità, integrate in Gatekeeper, scoraggiano gli utenti dall'apertura di app non verificate, che richiedono agli autori di malware di diventare più creativi con le loro tattiche.

Ad esempio, i ricercatori di Intego hanno scoperto un nuovo malware per cavalli di Troia che si diffonde attivamente in natura tramite risultati di ricerca di Google avvelenati che inducono gli utenti a bypassare quelle stesse protezioni.

Il malware viene fornito come immagine disco .dmg mascherato da programma di installazione Adobe Flash. Ma una volta montato sul computer di un utente, visualizza le istruzioni che guidano gli utenti attraverso il processo di installazione dannoso.

Il normale prompt che appare quando si fa clic su un pulsante non verificato. Credito: Intego

Il normale prompt che appare quando si fa clic su un pulsante non verificato. Credito: Intego

In una tattica descritta da Intego come "romanzo", il malware chiede agli utenti di fare clic con il tasto destro e aprire il malware invece di fare doppio clic su di esso. In base alle impostazioni di macOS Catalina Gatekeeper, viene visualizzata una finestra di dialogo con un pulsante "Apri". Normalmente, quando si fa clic su un file non verificato, Apple non consente agli utenti di aprirli così comodamente.

Fare clic con il pulsante destro del mouse e aprire un file consente agli utenti di eseguire più facilmente software non verificato. Credito: Intego

Fare clic con il pulsante destro del mouse e aprire un file consente agli utenti di eseguire più facilmente software non verificato. Credito: Intego

Normalmente, macOS scoraggia gli utenti dall'aprire app non verificate rendendo il processo più difficile. In particolare, costringendo gli utenti ad accedere alle Preferenze di Sistema per sovrascrivere Gatekeeper. La strategia salva anche i cattivi attori dalla registrazione per un account Apple Developer o dal dirottamento di uno esistente.

Una volta che gli utenti aprono effettivamente l'app di installazione, esegue uno script di shell bash ed estrae un file .zip protetto da password che contiene un pacchetto di app dannose più tradizionale. Sebbene inizialmente installi una versione legittima di Flash, Intego osserva che può anche essere utilizzato per scaricare "qualsiasi altro malware per Mac o pacchetto adware".

È interessante notare che il malware è stato diffuso tramite i risultati di ricerca di Google che reindirizzano gli utenti a pagine Web dannose affermando che il Flash Player di un browser non è aggiornato. Intego ha aggiunto che finora il malware è stato in grado di evitare il rilevamento da parte della maggior parte dei software antivirus.

Chi è a rischio e come evitarlo

Poiché il malware si sta diffondendo attivamente tramite i risultati di ricerca di Google, il rischio di compromesso è leggermente più elevato. Intego osserva che appare quando gli utenti cercano i titoli esatti dei video di YouTube.

Gli utenti possono evitare questo malware semplicemente facendo clic sui collegamenti di cui si fidano assolutamente. Se un sito Web ti chiede di scaricare qualcosa non richiesto, esci da lì.

Gli indicatori di compromesso possono includere le seguenti app: flashInstaller.dmv in Download; un file FlashInstaller.zip o un file denominato "Installer" in una sottocartella in cartelle private / var /.

Intego osserva che diversi domini, tra cui youdontcare.com, display.monster, yougotupdated.com e installerapi.com, sono stati associati a questa campagna. Qualsiasi traffico verso o da questi domini "dovrebbe essere considerato un possibile segno di infezione", hanno detto i ricercatori.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *