21 settembre 2015

Il mese corrente abbiamo già raccontato diverse volte dei trojan che installano varie applicazioni indesiderate e pubblicitarie sui computer degli utenti di Windows. Tuttavia, gli interessi degli attaccanti non si limitano a questo sistema operativo — recentemente gli analisti dei virus Doctor Web si sono imbattuti in un curioso campione di un installer di programmi pubblicitari per Mac OS X, denominato l'Adware.Mac.WeDownload.1.

Il campione Adware.Mac.WeDownload.1 , pervenuto al laboratorio antivirus Doctor Web, è una distribuzione contraffatta del lettore Adobe Flash Player, dotata della seguente firma digitale: "Developer ID Application: Simon Max (GW6F4C87KX)". Questo installer viene distribuito con impiego delle risorse di un partner program incentrato sulla monetizzazione di traffico di file.

Nel processo dell'installazione l'1Adware.Mac.WeDownload.1 chiede di avere i permessi dell'amministratore di root del sistema operativo e per caricare la sua finestra principale si connette, ad uno dopo l'altro, a tre server di gestione di cui gli indirizzi sono memorizzati nel suo file di configurazione. Se nessuno dei nodi remoti ha risposto, l'installer si chiude. Se invece è arrivata una risposta, l'Adware.Mac.WeDownload.1 manda sul server di gestione una richiesta POST contenente i dati di configurazione dell'installer nel formato JSON (JavaScript Object Notation) e in cambio riceve una pagina HTML con i contenuti della finestra da mostrare all'utente. Tutte le successive richieste GET e POST vengono dotate di un tag dell'ora attuale e di una firma digitale generata secondo un apposito algoritmo.

Dopo aver mandato una richiesta corrispondente, l'Adware.Mac.WeDownload.1 riceve dal server di gestione una lista delle applicazioni che verranno offerte all'utente per l'installazione. Tra di loro ci sono programmi indesiderati e francamente dannosi, in particolare: Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, diversi campioni della famiglia Trojan.Conduit e alcune altre applicazioni pericolose.

Quanti e quali programmi vengono installati, dipende dall'associazione geografica dell'indirizzo IP della vittima. Se la lista delle applicazioni è vuota, all'utente viene offerto per l'installazione qualcosa in più rispetto a quello che voleva scaricare inizialmente.

Gli specialisti Doctor Web consigliano nuovamente agli utenti dei computer Apple di essere attenti e di non scaricare applicazioni da fonti non attendibili. La firma antivirale dell'Adware.Mac.WeDownload.1 è stata aggiunta ai database dei virus, dunque questo installer non è un pericolo per gli utenti dell'Antivirus Dr.Web per Mac OS X.