30 Agosto 2023
Doctor Web, venditore russo di anti-virus, ha condotto una ricerca per determinare la quantità di Mac infetti dall'ultimo Trojan per Mac, il BackDoor.Flashback.39, capace di infettare un computer Apple con la semplice visita di una pagina web, senza richiedere la password utente. Le stime parlando di "più di 550.000" macchine infette, nella maggior parte in Canada e Stati Uniti, ma un buon 0.3% anche in Italia. Apple ha già risolto la falla sfruttata dal virus tramite l'ultimo aggiornamento Java per OS X, ma il danno è già stato fatto...
Già da tempo abbiamo avuto modo di parlare dell'ultima famiglia di Trojan "Flashback" per Mac che si sta diffondendo sulla rete: una recente variante del virus si spacciava per Apple Inc. per richiedere la password amministratore all'utente ed avere libero accesso al sistema. L'ultima versione, denominata BackDoor.Flashback.39, riesce ad infettare un Mac senza che l'utente se ne renda conto e senza il bisogno di spacciarsi per aggiornamenti software o simili. La falla sfruttata è presente in Java SE6 ed è già stata patchata da Windows nel febbraio scorso; Apple ha indugiato nel rilascio, non senza generare critiche, e ha reso disponibile l'aggiornamento solo lo scorso 3 aprile. Il ritardo ha avuto un suo costo.
Secondo Doctor Web, BackDoor.Flashback.39 avrebbe già infettato oltre 550.000 Macs, forse 600.000, indirizzando migliaia di utenti verso siti malevoli che hanno utilizzato un semplice JavaScript per diffondere il virus. I domini dei siti individuati per adesso sono tutti russi, e secondo alcune fonti, sarebbero tuttora presenti su 4 milioni di pagine web sotto forma di link. I primi casi di "contagio" sono stati registrati a febbraio e dal 16 marzo è stato sfruttato un nuovo exploit. Tramite questi exploit vengono salvati alcuni file eseguibili all'interno degli hard disk dei Mac che scaricano e avviano da server remoto delle payload malevoli. Ma a quanto pare, prima della fase operativa, il virus si accerterebbe dell'assenza all'interno del sistema delle seguenti applicazioni: Little Snitch, Xcode, VirusBarrier X6, iAntiVirus, Avast!, ClamXav, HTTPScoop e Packet Peeper. Se viene individuata almeno una di queste applicazioni, il malware non darà avvio alla sua routine e procederà direttamente con l'auto-cancallazione, a detta di F-Secure.
Il risultato: la più grande botnet di computer "zombie" Mac della storia, che può essere utilizzata da remoto da un botmaster per attacchi DoS, Spam e Phishing. Le percentuali più alte di diffusione del virus (aggiornate al 4 aprile) sono: 56,6% negli Stati Uniti (303.449 unità), 19,8% in Canada (106.376 unità), 12,8% nel Regno Unito (68.577), 6,1% in Australia (32.527 unità). L'Italia da sola compre lo 0,3% dei contagi, ovvero circa 1600 computer Mac infetti presenti sul territorio italiano.
È fortemente consigliato a tutti gli utenti che non l'abbiano ancora fatto di installare l'ultimo aggiornamento di Java per OS X, in attesa di un tool per il riconoscimento dell'infezione e la pulizia del virus dalla propria macchina. Questo il link alle istruzioni per la rimozione manuale del virus, consigliata solante agli utenti più esperti.
È ora di acquistare un antivirus anche per Mac?
img via
Commenti