3 marzo 2016

I programmi malevoli per computer Apple non sono oggi così tanto diffusi come i malware per gli SO Windows e Android, però i malintenzionati sono interessati anche ai proprietari di tali macchine. La maggioranza dei programmi malevoli di oggi che sono in grado di funzionare in OS X è studiata per mostrare pubblicità nella finestra di browser. Per questo fine sono progettati anche i nuovi trojan classificati nella famiglia dei malware Mac.Trojan.VSearch, scoperti a marzo dagli specialisti Doctor Web.

Un attacco dei trojan della famiglia Mac.Trojan.VSearch a un computer Apple inizia da un installer di applicazioni il quale Antivirus Dr.Web rileva come Mac.Trojan.VSearch.2. Si diffonde camuffato da varie utility e applicazioni – per esempio il lettore Nice Player. L'utente può scaricarlo da vari siti web che offrono software gratuiti per OS X.

Subito dopo l'avvio dell'installer nella sua finestra viene visualizzato un solito benvenuto. Se l'utente clicca sul pulsante "Continue", Mac.Trojan.VSearch.2 dovrebbe mostrare una lista dei componenti che verranno installati oltre all'applicazione inizialmente voluta. Nel caso normale, l'utente può selezionare i componenti che vuole installare, però in pratica questo non succede: l'installer passa immediatamente alla finestra in cui viene selezionata una directory di installazione e le sue impostazioni contrassegnano con i flag tutte le varianti offerte come se fossero selezionate dall'utente stesso. Tra i componenti che Mac.Trojan.VSearch.2 installa sul computer compromesso, è stato notato il trojan Mac.Trojan.VSearch.4 e inoltre molti altri programmi rischiosi e indesiderati, in particolare MacKeeper (Program.Mac.Unwanted.MacKeeper), ZipCloud (Program.Mac.Unwanted.ZipCloud) e Mac.Trojan.Conduit.

Dopo aversi installato sul computer sotto attacco, Mac.Trojan.VSearch.4 si connette al server dei malintenzionati e scarica da esso un specifico script che sostituisce nelle impostazioni del browser il motore di ricerca predefinito, impostando come tale il server Trovi. Tramite questo script il trojan può scaricare e installare sul "mac" compromesso un plugin per i browser Safari, Chrome e Firefox, rilevato da Antivirus Dr.Web come l'applicazione indesiderata Program.Mac.Unwanted.BrowserEnhancer.1. E infine questo programma malevolo scarica e installa il trojan Mac.Trojan.VSearch.7.

Arrivato sul computer infetto, Mac.Trojan.VSearch.7 come prima cosa crea nel sistema operativo un nuovo utente (che non viene visualizzato nella finestra del benvenuto di OS X) e avvia un apposito server-proxy attraverso cui incorpora in tutte le pagine web che vengono aperte nella finestra di browser uno script nel linguaggio JavaScript che mostra banner pubblicitari. Oltre a ciò, lo script malevolo raccoglie le richieste dell'utente ad alcuni popolari motori di ricerca.

LGli specialisti Doctor Web hanno determinato che in totale sui server appartenenti ai criminali informatici per il tempo della loro esistenza sono pervenute 1.735.730 richieste di download dei programmi malevoli, e hanno individuato 478.099 indirizzi IP unici dei computer che si connettevano con questi server. La cifra sopracitata consente ipotizzare circa la scala di diffusione della minaccia. Tutti i campioni della famiglia Mac.Trojan.VSearch vengono rilevati con successo da Antivirus Dr.Web per OS X e quindi non rappresentano alcun pericolo ai nostri utenti.