Malware: il trojan Snake passa da Windows a macOS

malware mac

Gli sviluppatori di malware hanno evidentemente imparato che il controllo di Gatekeeper è aggirabile in maniera relativamente facile, anche se per poco tempo. Dopo Dok, è la volta di un "nuovo" malware - Snake, che nel mondo Windows è diffuso in realtà da anni - a presentarsi con le credenziali di uno sviluppatore autorizzato Apple.

Snake, noto anche come Turla o Uroburos, è un trojan che si presenta come un installer lecito di Adobe Flash. Questo in realtà indebolisce il suo potere di violazione dei Mac perché buona parte degli utenti Apple non dovrebbe vedere di buon occhio Flash, però il pericolo resta per chi deve usare questa tecnologia di Adobe. Di solito Snake viene inviato via mail come parte di una campagna di phishing e presentato come una nuova versione di Flash da installare per risolvere una sua vulnerabilità.

Quando il finto installer viene avviato, Gatekeeper mostra che è stato creato da uno sviluppatore certificato. Non è Adobe, ma la gran parte degli utenti colpiti non nota il dettaglio e autorizza l'installazione. Snake chiede la password di amministratore e anche questo non desta sospetti, perché è quello che farebbe qualsiasi installer di Flash.

Snake-installerIl comportamento di Snake appare corretto agli utenti colpiti anche perché il malware installa effettivamente Adobe Flash e quindi le schermate che si mostrano da un certo punto in poi sono effettivamente quelle legate a Flash. Il problema è che prima di installare Flash si installa un processo nascosto sempre attivo che crea una backdoor tramite cui è possibile accedere al Mac.

Apple ha revocato il certificato associato allo sviluppatore di Snake, che però potrebbe presentarsi con altre "identità". Per essere contagiati da malware come questo occorre autorizzare esplicitamente l'installazione di software e questo fa considerare i trojan come relativamente poco pericolosi, ma l'esempio di Snake dimostra che con un malware ben progettato e una campagna di diffusione fatta "ad arte" molti utenti meno tecnicamente smaliziati in quanto a sicurezza possono cadere nella trappola.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here