Malware, gli hacker non risparmiano gli utenti Mac

09 Febbraio 2017 179

La piattaforma macOS/OSX ha dimostrato, nel tempo, di non essere del tutto immune al fenomeno dei malware. Anche se la percentuale è inferiore quella registrata in ambito Windows, la diffusione di software malevolo interessa anche l'OS desktop della casa di Cupertino. La novità delle ultime ore riguarda quello che può essere considerato il primo (o quanto meno uno dei primi casi) documentati di attacco reale volto ad infettare i dispositivi Mac.

Per raggiungere lo scopo, gli hacker hanno utilizzato una tecnica a dir poco collaudata, che gli utenti Windows hanno imparato (purtroppo) a conoscere, ovvero l'esecuzione di una macro di Word. Nello specifico, il malware recentemente scoperto da Patrick Wardle, ricercatore di Synack, era contenuto nel file Word denominato "U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace."

L'apertura del file su piattaforma Mac, utilizzando Word, attiva contestualmente la macro che svolge una serie di operazioni:

  • Verifica la disattivazione del firewall
  • Scarica e codifica il payload dall'indirizzo hxxps://www.securitychecking.org:443/index.asp
  • Decodifica ed esegue il payload

Per determinare quali sono stati gli effetti prodotti dal malware è stato necessario analizzare il codice della macro, scritto in Python, e quasi sovrapponibile a quello di Empyre, un framework exploit open-source per piattaforma Mac.

L'utilizzo di Empyre suggerisce alcune delle potenzialità del software scaricato in maniera indesiderata, comprendenti la possibilità di controllare le webcam, sottrarre le password e le chiavi crittografate e memorizzate nel portachiavi di macOS, così come accedere alla cronologia del browser. Purtroppo, dopo la scoperta del malware, securitychecking.org non ha più fornito il payload e non è stato quindi più possibile accertare l'esatta portata dell'attacco.

Tutto quanto sopra, però, non deve far perdere di vista un aspetto essenziale: l'esecuzione della macro è possibile solo se l'utente accorda un permesso in tal senso a Word e solo se ignora l'avviso che mette in guardia sulla presenza della medesima nel file. Per dirla diversamente, con un po' di attenzione ai file aperti non si corrono rischi. Fa comunque riflettere il fatto che gli hacker stanno prendendo sempre più di mira i sistemi Mac, seppur con metodi che non possono essere considerati certamente sofisticati.

La scoperta recente scoperta dell'attacco appena descritto non è infatti un caso isolato. Pochi giorni fa, infatti, altri due ricercatori indipendenti hanno spostato l'attenzione su MacDownloader, un malware creato con lo scopo di sottrarre i dati memorizzati nel portachiavi di macOS. Nessuno è al sicuro, ma un po' di buon senso contribuisce a tenere lontani attacchi indesiderati. Scaricare ed aprire i file solo se provenienti da fonti sicure è una regola che vale per qualsiasi sistema operativo.

Il più piccolo e potente iPhone di sempre? Apple iPhone SE, compralo al miglior prezzo da Amazon a 309 euro.

179

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
DonatoMonty81

Si, ma stai calmo

Gabriel.Voyager

Ma che caxzo dici?! l'hai mai usato un mac? "castrazione" in quanto a funzionalità? santa pazienza ma quand'è che la gente la smettera di sparar caxzate immonde quando non sa nulla di niente di nada...

Diego D. De Zan

Si...soprattutto a chi le usa per infilarsi dentro le tue cose.
Le tue macro dovresti attivarle subito prima dell'uso del documento e disattivarle subito dopo. Nessuno lo fa.Si crede troppo furbo e intelligente.
Finchè non va in rete a supplicare chiunque incontri di toglierlo dai pasticci da cui solo lui sa come uscire....Se si ricorda come ha fatto ad entrarvi.

Diego D. De Zan

Senza dubbio. Ma io mi riferivo a quelle che ti arrivano con i documenti word e del resto della Suite Office.

Saccente

Al portachiavi non possono accedere nemmeno le applicazioni native, senza consenso esplicito. E se hai un iPhone, viene usata l'autenticazione a 2 fattori. Questi malware possono solo sperare che l'utente risponda "si" alla domanda "Vuoi consentire all'applicazione Tal Dei Tali di accedere al tuo portachiavi?" e autorizzi l'operazione dall'iPhone, se ce l'ha.

Saccente

"Avrebbero dovuto" chi? Le piccole aziende non hanno un CED, arriva il tecnico del venditore e fa il minimo per mettere in funzione il PC. Poi al massimo arriva il tecnico del programma di contabilità e fa solo ciò che lo riguarda.

Saccente

Qui non si tratta di fare doppio click o altro, qui abbiamo a che fare con un link dentro un'e-mail.

DonatoMonty81

Perdonami, ma allora il problema è l'azienda HP, non il mondo Microsoft in generale.
Se volessi fare un paragone tra mondo Apple e mondo Microsoft, allora dovresti paragonare il Mac al Surface

DonatoMonty81

Ma non ti stanchi mai di lecchinare apple?

DonatoMonty81

No, ma di certo cliccare su qualsiasi link o file ricevuto per posta di certo non aiuta.
Windows offre una certa libertà di utilizzo che un sistema come MacOS non permette, dandoti si più sicurezza, ma anche un senso di "castrazione" in quanto a funzionalità.

marco

La famosa gabbia d'orata

Gabriel.Voyager

e certo perchè adesso all'utente si demanda una conoscenza di ingegneria informatica nella manutenzione di un OS per usare windows...

takaya todoroki

non ha senso dire "a quel punto fai un programma".
la macro serve appunto per evitare di doversi cimentare in un programma mantenendo il vantaggio di avere a disposizione in modo nativo le funzionalità del software in cui 'vivono' la macro.

Sagitt

certo

Aster

lo adoro ma per ora non ce piu delux,quindi a casa sugli fornelli

Aster

nessuno ha detto il contrario ma gente che dice il mio dura da anni su dispositivi cosi complessi quindi e affidabile o il mio si e rotto dopo una settimana non e accettabile in entrambi i casi

Mark

"Ti bolla come poco furbo ufficialmente". Viva i luoghi comuni e la superficialità, l'intelligenza è da entrambe le parti a quanto vedo

ale

Intanto che senso ha, a quel punto fai un programma se devi fare cose complesse, o anche una pagine web, comunque, se proprio vuoi queste funzioni, dovrebbero essere disabilitate di default

Simone

Siccome si parla di sistemi operativi desktop credo che tu intendessi Linux e non Android. Comunque non ho memoria di malware o virus su Ubuntu o qualsiasi altra distribuzione, quindi non credo si possa paragonare Linux a Windows.

takaya todoroki

eh beh, se l'utente ha già fornito l'autorizzazione a lanciare una macro da origini sconosciute non vedo perché non dovrebbe fornire le credenziali complete alla richiesta del sistema ;)

L'unico modo sarebbe non darle all'utente ovviamente (che è ciò che si fa nei domini aziendali Windows)

edge

Beh dai dice "suggerisce", e specifica che sono capacità di Empyre e non di questo virus in sé. Poi magari nella seconda fase dell'attacco (che è andata persa) chiedeva davvero la password di root e in effetti poteva diventare pericoloso, ci sta lasciare il dubbio. Per me è ok :)

Gli editor markdown tipo Typhora (o Ulysse per chi vuol spendere) sono soggetti agli stessi rischi?

takaya todoroki

"Non credo sia necessario"

No scusa, l'articolo che stiamo commentando dice una serie di cose.
Tu hai scritto: tutto falso.
Se hai ragione trattasi esattamente di fake news.

edge

Non credo sia necessario, alla fine questo codice è pubblico e gli articolo originali dei ricercatori spiegavano già bene le limitazioni dei due esempi. Cito per il keylogger:

Logs all keyboard events except cmd-keys and GUI password input.

e per il dumper del portachiavi:

# if the module needs administrative privileges
'NeedsAdmin' : True


L'accesso alla shell è una funzione molto utile e usata in ogni linguaggio di programmazione (qui le macro), purtroppo ci si può fare poco se non aggiungere avvisi più esplicativi.

takaya todoroki

Evidentemente hai problemi hardware.

CAIO MARI

Si è staccato pure il display da solo, pure una porta USB è morta da sola

CAIO MARI

Purtroppo un i7 con 6GB di RAM si è piantato per fare ste cacate

CAIO MARI

Assolutamente no, sono l'unico nell'area di 3 km che sa come trattare i prodotti tecnologici, sistemazione del registro, pulizia periodica dei file di cache, defragmentation annuale, disinstallazione dei software inutili, rimozione dei software che si installano da soli, rimozione dei plug in che appesantiscono la navigazione, ho anche piallato windows quando ho installato windows 10, installazione degli ultimi driver nvidia, controllo dei driver e delle periferiche, il problema è HP che fa dei computer di merd4, un paio di pixel bruciati, schermo che si scolla dalla cornice, casse audio che si riempiono sempre di polvere, una porta USB ha smesso di funzionare, batteria sostituita 2 volte, morta per due volte, caricatore estramemente ballerino esce dalla porta con un niente, laptop che produce un calore assurdo (ti scalda una stanza in inverno), touchpad che con windows 10 ha perso la funzionalità di scorrimento, e driver nuovi non ce ne sono, graffi a tutta cornice esterna, non ha la retroilluminaizone della tastiera
Il MacBook Pro retina 15 del 2013 è ancora perfetto,
batteria che dura ancora 8 ore, schermo retina stupendo, scocca ancora nuova, touchpad spettacolare, tastiera retroilluminata su 10 livelli, casse audio che sembrano casse esterne da quanto suonano bene, lo lascio acceso + standby per mesi mesi, caricandolo ogni sera, zero problemi, anche di quello faccio pulizia ogni mese per eliminare cache e file inutili, dopo 3 anni e mezzo non ho mai fatto installazioni pulite, e ho cambiato 4 OS consecutivamente, ora ci ho virtualizzato anche windows 10 pro, e funziona perfettamente, ho anche la condivisione dei programmi per Mac su windows, e gestisco tutti i file che avevo su Mac anche con windows, spettacolo, e passo da uno all'altro in un secondo con uno swipe a 3 dita

takaya todoroki

"Infatti non le fa"

denuncia la bufala!123

edge

Infatti non le fa, avevo approfondito in un commento più in basso guardando il codice di Expyre su GitHub. Le potenzialità erano una mera supposizione dell'autore dell'articolo.
Dei portachiavi ecc. può fare solo dump criptati, per decifrarli dovrebbe chiedere la password all'utente. Il keylogger non può leggere i campi password.
Per il resto, la macro può fare questo casino perché attraverso la call system() esegue un comando sulla shell di sistema (ma senza permessi di root), è una funzione presente in qualsiasi linguaggio di programmazione e OS e molto utile agli sviluppatori.
IMHO basterebbe aggiungere un bel warning del tipo "Questa macro/script esegue comandi sul sistema".

SteDS

Certo che MacOS è un buon sistema ma le palle che tirano fuori i fan sono ridicole dai. Vulnerabilità da sfruttare ce ne sono in abbondanza per tutti i sistemi:

http://mobile .hdblog .it/n423977/CVE-top-2015-numero-vulnerabilita-software.html

takaya todoroki

guarda che ti basta disattivare la macro (se non le usi) o, se le usi, banalmente evitare di attivarle quando apri un file che non è prodotto da te.

edge

Va be', quell'app per leggere il portachiavi criptato chiede pure la password di root all'utente, non sfrutta una vera e propria falla.
I due virus riportati nell'articolo sono mooolto rudimentali e poco efficaci, poi che ce ne siano altri più raffinati di cui non siamo a conoscenza è fuori di dubbio.

takaya todoroki

quindi come spieghi il fatto che una semplice macro possa installare un trojan residente in grado di fare tutte le cose che descrive l'articolo (possesso di cam, intercettazione di pass e così via)?

takaya todoroki

Le aziende e i professionisti in generale lo fanno. Non mi pare che siano 'personaggi curiosi'
Certo loro di solito lanciano le proprie non quelle ricevute per posta da chissà chi... ma tant'è: le macro ci sono perché sono utili.

SteDS

Ahah vedi, cecità selettiva dei fan confermata!

"La scoperta recente scoperta dell'attacco appena descritto non è infatti un caso isolato. Pochi giorni fa, infatti, altri due ricercatori indipendenti
hanno spostato l'attenzione su MacDownloader, un malware creato con lo
scopo di sottrarre i dati memorizzati nel portachiavi di macOS."

Questo è ciò che non riesci proprio a vedere.

Ganzissimo

Guardacaso e' roba di MS :P

Libreoffice e Pages e passa la paura

Rapid_Odeen

in realtà lo porta l'utente... è lui che ha scaricato il file...

Luca

Si anche perche' il market share tra PC e Mac e' un po' diverso eh..

Sagitt

Era una battuta calmati ahahhaah

artick82

Qualcuno sa dirmi perché safari non mi carica twich??

simo

Ancora? È ANCHE una questione di convenienza. Non SOLO una questione di convenienza.

È possibile concepire una pluralità di cause? Per difendere qualcosa a volte siete capaci di negare la realtà

istin

Sì, ok, intendevo come usi il pc nel senso di "fare un po' di manutenzione ordinaria". E comunque, anche fosse stato un modello fallato, di certo non vuol dire che tutti i PC fanno schifo e dopo 3 anni muoiono.

istin

E non c'è bisogno di dire che tutti i frigoriferi durano 1 mese solo perché il tuo era fallato.

Diego D. De Zan

Ma vah!!! Lol....

Diego D. De Zan

Veramente arrivano sulle macroWord...Da almeno una 20a di anni.
Che poi ci siano dei curiosi personaggi che usano word e le sue macro è un altro affare....

Dark Passenger

...purtroppo.........hai detto bene

Dark Passenger

non è così!
a meno che non si diano permessi di amministratore non dovrebbe poter avere privilegi a così basso livello!
in ogni caso il bug è del SW che non dovrebbe permettere il download di malware! d'altro canto, il SO non dovrebbe concedere a un malware di scendere così in basso!

Dark Passenger

la tua battuta era quotata a 0.99

N#R#S©

il sistema immune al 100% non esiste ma almeno su mac si limitano e di molto i "danni" non come in winzozz o android dove di malware ce ne sono a milioni pronti ad attaccarvi il sistema quotidianamente eheh......saluti

Recensione Apple iPad PRO 10.5: è il tablet più potente

iPhone: 10 anni fa debuttava lo smartphone che ha cambiato il mondo

iOS 11 di Apple, tutte le principali novità su iPhone e su iPad | Video

iMac Pro 18 CORE e iPad da 512GB. Tutte le novità del WWDC 2017 | Video