Poco più di un paio di settimane fa, il ricercatore Stefan Esser aveva svelato un bug che permetteva ai malintenzionati di ottenere privilegi altissimi in OS X e installare software a proprio piacimento.
Ieri, i ricercatori della società americana Malwarebytes hanno scoperto che la falla è attualmente sfruttata da alcuni cybercriminali per installare degli adware, tra i quali VSearch, e lo scamware MacKeeper.
La scoperta è avvenuta quasi per caso quando il ricercatore Adam Thomas ha scoperto che il file sudoers, che contiene la lista usata dal sistema operativo per assegnare i privilegi ai vari programmi, sulla sua macchina era stato modificato.
In particolare, la modifica apportata permetteva di installare del software con privilegi di amministratore via shell Unix senza bisogno di chiedere la password all'utente.
"Come si vede dal codice qui sopra" - dice il ricercatore sul blog - "lo script che sfrutta la vulnerabilità DYLD_PRINT_TO_FILE è contenuto in un file e successivamente eseguito. " Dopo l'esecuzione, lo script si preoccupa di cancellarsi dal disco fisso.
In pratica, grazie a questa vulnerabilità, lo script installa gli adwar Vsearch e Genieo oltre a MacKeeper (uno junkware). Infine, come se non avesse già fatto abbastanza, cerca di dirottare l'utente sulla pagina del Mac App Store relativa al download dell'utility Download Shuttle.
Onestamente, trovo personalmente molto strano che un malware sia così invadente nel 2015. Di solito si cerca di massimizzare l'efficacia delle infezioni cercando di mantenere un basso profilo e restano il più a lungo possibile sulle macchine infette.
Con un modo d'agire così sfacciato, invece, è ovvio che l'utente si accorga in brevissimo tempo che qualcosa è andato storto e prenda delle contromisure.
Forse si tratta di un'azione dimostrativa più che di una campagna malware vera e propria per spronare Apple a prendere più sul serio gli avvisi che vengono inviati dai ricercatori.
Ricordiamo, infatti, che non è chiaro se Esser abbia informato o meno Apple del bug che aveva scoperto, ma sicuramente lo aveva fatto un altro ricercatore (il cui nickname su Twitter è @beist) qualche settimana prima, quindi un po' di tempo per sistemare il tutto è passato.
Soprattutto considerato che Esser ha comunque già preparato una patch che si può scaricare liberamente da Internet per risolvere il problema.