venerdì 24 gennaio 2020
Sistemi macOS: uno su dieci è infettato col trojan Shlayer
Indubbiamente i sistemi operativi Mac sono meno soggetti a cyber attacchi, anche se da tempo, di pari passo con la maggior presenza di SO Mac nel mondo, la situazione sta cambiando... in negativo. Vi sono stati vari casi di malware pensati appositamente per macOS; nel Febbraio 2019 fu individuato CookieMiner un malware per rubare ed esfiltrare i web cookie relativi ai servizi online, insieme a password, messaggi di testo e credenziali vari. Colpiva solo dispositivi Mac. La backdoor EmPyre è una vecchia conoscenza invece, usata per controllo da remoto e persistenza: anche in questo caso il target erano i SO Mac. Vi sono molti altri esempi di malware pensati ad hoc per macOS, ma parliamo comunque di malware la cui diffusione è stata limitata. Non è un caso che sono ancora tantissimi gli utenti che ritengono il MAC sostanzialmente inattaccabile e inattaccato.
Il fatto è che la realtà è cambiata: fino a pochi anni fa gli utenti dei sistemi operativi Mac si contavano sulle dita di una mano (rispetto alla diffusione di massa di Windows). La scarsa diffusione dei Mac rendeva nei fatti poco utile e appetibile per i cyber attaccanti prodigarsi in sforzi per programmare e diffondere malware per questi sistemi operativi. Adesso che il Mac ha raggiunto una platea molto ampia di utenti, l'attenzione dei cyber attaccanti si è di nuovo destata. E la conferma si è avuta con la diffusione raggiunta dal trojan Shlayer, individuato da alcuni vendor di sicurezza sul 10% - 12% dei dispositivi Mac che utilizzano le loro soluzioni. Parliamo di 32.000 campioni del malware e di 143 server di comando e controllo ad essi collegato.
Qualche dettaglio tecnico
Shlayer è un veicolatore di adware, programmi che diffondono annunci illeciti, intercettano e raccolgono le richieste dai browser, modificano i risultati delle ricerche online per diffondere ulteriormente messaggi pubblicitari: tutte operazioni che impattano negativamente sulle performance del sistema operativo e.. sulla pazienza dell'utente.
Shlayer, però, non mostra direttamente gli annunci: l'infezione avviene infatti in due fasi. Nella prima viene installato Shlayer, nella seconda Shlayer avvia l'installazione di diversi tipi di adware.
Come infetta i macOS
Gli autori del malware hanno creato un sistema di diffusione molto intelligente: il malware è presente in siti per il download di torrent o di software gratuiti, ma anche su Wikipedia. La quasi totalità delle infezioni avviene infatti tramite download inconsapevole da parte dell'utente. In alcuni casi viene perfino offerto come strumento di monetizzazione di siti web, in alcune piattaforme di partner program: e la cosa ha successo, tantochè sono oltre 1000 i siti che, in partnership con gli autori, distribuiscono Shlayer per ricevere un compenso per ogni installazione avvenuta tramite il loro sito web.
Uno dei metodi più usati fino ad adesso dal sistema di affiliazione di Shlayer è quello di mostrare ad utenti che ricercano episodi di serie TV o partite di calcio, alcune landing page che mostrano alert indicando all'utente la necessità dell'aggiornamento di Flash Player per procedere alla visualizzazione. E' da queste pagine che l'utente scarica il malware: per ogni utente che compie questa azione, i gestori delle pagine ricevono un compenso.
Un altro metodo molto diffuso è è quello di mostrare link delle landing page corrotte nelle descrizioni di video su Youtube o nelle pagine di Wikipedia. Sotto un esempio di landing page per il download di Shlayer