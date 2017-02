Statisticamente le piattaforme operative MAC, causa anche la loro esigua percentuale di preferenza rispetto agli OS Windows dei PC, sono le meno soggette ad infezione da parte di malware sebbene ultimamente ci si stia ponendo un problema anche nei loro confronti.

La diffusione di software malevolo sta di fatto prendendo piede anche all’interno degli ecosistemi Apple che contano ora su un primo caso documentato di attacco perpetrato attraverso un’infezione dovuta ad una semplice macro Word. Una tecnica già vista e collaudata nel campo dei sistemi Windows e che è recentemente emersa dalla voce del ricercatori di Synack, Patrick Wardle, che ha evidenziato la nuova minaccia insita nel file Word chiamato “U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace.”

L’apertura della macro Word genera una serie di operazioni ben specifiche:

Verifica la disattivazione del firewall

Scarica e codifica il payload dall’indirizzo hxxps://www.securitychecking.org:443/index.asp

Decodifica ed esegue il payload

Gli effetti indesiderati della macro sono emersi a seguito dell’analisi del codice di esecuzione redatto in Python e quindi riconducibile a quello di Empyre, un framework exploit open-source per piattaforma Mac.

Gli effetti del malware sono a dir poco disastrosi e portano dal completo controllo della webcam sino alla sottrazione di password e chiavi di crittografia memorizzati in macOS ed ai dati sulla cronologia del browser web.Purtroppo a seguito della scoperta del nuovo malware MacOS il payload non è stato più fornito da securitychecking.org e pertanto non è possibile delineare la reale portata dell’attacco.

Ad ogni modo, in questo caso, è bene ricordare che il nuovo attacco non è da volersi per una falla indotta da una cattiva gestione del profilo di sicurezza del sistema bensì al comportamento dell’utente che conduce all’attivazione manuale della macro Word, cui si giunge solo a seguito di un avviso diretto sull’eventuale pericolosità del contenuto in attivazione.

Quindi è buona norma precisare che il rischio è in questo caso derivato direttamente dall’utente, sebbene gli hacker si siano portati alla valutazione di nuovi sistemi di attacco indirizzati ai sistemi Apple per i quali sono previsti soluzioni decisamente sofisticate.

Di fatto la nuova falla non rappresenta un caso di per se isolato ma fa capo piuttosto ad ulteriori focolai di pericolo emersi giorni fa per mano di due ricercatori indipendenti che hanno visto in MacDownloader la possibilità di sottrarre i dati utente memorizzati sui dispositivi nel portachiavi MacOS.

Sicuramente l’unica vera arma per combattere la diffusione dei malware è in questo caso il buon senso e si consiglia pertanto di scaricare ed eseguire i file soltanto se certi della loro provenienza. Una regola che vale in ogni contesto, sia esso il segmento dei sistemi desktop che mobile. In questo caso non sarebbe una cattiva idea consultare le linee guida di difesa contro il malware disposte nella nostra guida dedicata.

Sei caduto vittima di attacchi simili? Pensi che le software house debbano adottare politiche più restrittive e di controllo sull’esecuzione di applicazioni e file potenzialmente malevoli? A voi tutte le considerazioni al riguardo.

