Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Feb 28, 2020 Marco Schiaffino In evidenza, Malware, News, RSS, Scenario 0
Se quella che non esistano malware per macOS è una leggenda assolutamente priva di fondamento, che il panorama delle minacce per i computer Apple sia molto diversa da quelle per Windows è una verità indiscutibile.
A spiegarlo è Thomas Reed, ricercatore di MalwareBytes, che in un post sul blog ufficiale della società di sicurezza descrive lo strano paradosso del mondo macOS.
I malware che prendono di mira i dispositivi Apple, spiega Reed, sono infatti piuttosto elementari e, a differenza di quanto accade per Windows, i pirati informatici non sviluppano differenti versioni con grande frequenza.
In realtà il dato non deve stupire più di tanto. Come spiegano gli esperti di sicurezza, la continua comparsa di varianti dei malware per i sistemi Windows si spiega con il tentativo di aggirare i sistemi di protezione antivirus.
Quando si parla di mac, invece, i pirati sanno che ci sono buone probabilità che i computer non siano nemmeno protetti da un software di sicurezza. Insomma: progettare complicate tecniche di attacco sarebbe tempo sprecato.
L’eccezione, però, esiste ed è rappresentata da Crossrider, un adware che utilizza una serie di tecniche estremamente elaborate per compromettere i browser su macOS e visualizzare pubblicità indesiderate sul computer infetto.
In particolare, Crossrider esegue una serie di modifiche a livello di sistema per garantire i privilegi di root a una serie di processi e daemon che attiva sul computer, installando numerosi file sul sistema.
Per eseguire l’installazione, che richiede l’utilizzo della password di amministratore, utilizza uno stratagemma visualizzando una finestra in cui è riportato una falsa richiesta di aggiornamento del sistema e, una volta che l’utente ha inserito la password, la utilizza per installare gli altri programmi malevoli.
Particolarissima anche la tecnica che usa per aggiungere le estensioni a Safari. Crossrider, infatti, crea una copia del browser, modificandola in modo che abiliti certe estensioni all’apertura senza alcun intervento richiesto da parte dell’utente.
In teoria questa operazione dovrebbe essere rilevata attraverso l’analisi del certificato digitale di Safari da parte del sistema, ma come spiega Reed, il metodo di verifica è tutt’altro che infallibile e la procedura funziona senza che macOS blocchi la copia di Safari. La copia viene poi cancellata, ma le estensioni rimangono attive sul programma di navigazione originale.
Il fatto che il payload sia limitato a modifiche delle pagine iniziali di navigazione (anche su Chrome) e ad attività tipiche di un adware, secondo Reed, non deve rassicurare più di tanto. Crossrider, infatti, è talmente invasivo da poter provocare grossi problemi di sicurezza e permetterebbe al suo autore anche di intercettare e decodificare il traffico inviato via Internet.
Lug 25, 2024 0
Mag 07, 2024 0
Feb 14, 2024 0
Set 06, 2023 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 24, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...