F-Secure ha lanciato l’allarme, per ora a scopo del tutto preventivo, su un malware per Mac che si camuffa da file PDF. Il suo nome è Trojan-Dropper:OSX/Revir.A e cerca d’ingannare gli utenti, cercando di mascherare le proprie attività aprendo un documento PDF, in modo da agire indisturbato senza insospettirli. Il contenuto del documento che viene aperto è preso da un articolo che contiene testo in lingua cinese e riferimenti politici, un buon diversivo specialmente per le persone di origine orientale.

“Questo malware potrebbe cercare di copiare la tecnica implementata da un malware per Windows, che apre un file PDF contenente un’estensione “.Pdf.exe” e la relativa icona PDF. Il sample nelle nostre mani non ha ancora un’estensione o una icona. Tuttavia, c’è un’altra possibilità . È leggermente diverso su Mac, dove l’icona è immagazzinata in un fork separato che non è facilmente visibile nel sistema operativo. L’estensione e l’icona potrebbero essere andati persi quando il campione ci è stato sottoposto. Se questo è il caso, questo malware potrebbe essere più subdolo rispetto a Windows perché il sample può usare qualsiasi estensione desideri”.

Il malware una volta avviato procede a installare una backdoor, Backdoor:OSX/Imuler.A. “Al momento il command-and-control center (C&C) del malware è solo un’installazione di Apache incapace di comunicare con la backdoor. Il dominio è stato registrato il 21 marzo 2011 e l’ultimo aggiornamento risale al 21 maggio”.

Se il malware dovesse comunicare con il server remoto – cosa che ancora non fa – sarebbe in grado di inviare l’indirizzo Mac e il nome del sistema, con i quali il server potrebbe istruire il trojan a prendere screenshot o file dal sistema infetto.

“Dal momento che questo sample di malware è stato ricevuto da VirusTotal, non possiamo essere sicuri esattamente del metodo che usa per diffondersi. Il modo più probabile è come allegato di una e-mail”.

Il malware Revir.A è quindi ancora molto acerbo, forse è ancora in fase di testing e probabilmente in futuro potrebbe diventare molto più pericoloso. Se sospettate che il vostro Mac sia stato infettato, controllate nelle attività se c’è un processo chiamato checkvir. Bloccatene l’attività e procedete a rimuovere i file “checkvir” e “checkflr.plist” da questa directory: /username/Library/LaunchAgents/.

Nonostante questa minaccia, MacOS rimane per il momento un ambiente più sicuro di Windows. Per ora ci sono poche minacce e per rimuoverle bastano degli aggiornamenti di sistema di Apple o semplici operazioni dell’utente.

L’aumentare delle vendite di Mac però deve mettere in guardia gli utenti della Mela, spesso non consci dei pericoli della Rete. Chi usa MacOS non dia più per scontato di essere immune ai malware.