MACDefender muta e diventa più cattivo. È stata scoperta una nuova variante dell'ormai famoso malware per Mac OS X che, diversamente dalle altre, non richiede la password di amministrazione per installarsi. Apple dovrà quindi pensare anche a questa versione, aggiornando il sistema operativo al più presto (Apple spiega come comportarsi con MACDefender).
La variante, chiamata Mac Guard, è stata scoperta da Intego. La minaccia si sta diffondendo tramite la tecnica del "SEO poisoning attack", in altre parole tramite siti web ottimizzati per apparire nei primi risultati dei motori di ricerca. Mac Guard, che si spaccia sempre per un antivirus e ha l'obiettivo di raccogliere numeri di carte di credito, è più subdolo delle altre versioni perché funziona in modo leggermente diverso e si presenta in due parti.
"La prima è un downloader, uno strumento che dopo l'installazione scarica un payload da un web server. Come nel caso delle altre varianti del malware MACDefender, questo pacchetto d'installazione, chiamato avSetup.pkg, è scaricato automaticamente visitando un sito truffaldino creato ad hoc", ha scritto Intego.
"Se l'opzione di Safari Apri File sicuri dopo il download è spuntata, il pacchetto aprirà l'installer e l'utente vedrà apparire la classica schermata d'installazione sullo schermo. Altrimenti, gli utenti potrebbero vedere l'archivio ZIP scaricato e potrebbero cliccarci per curiosità , non ricordando ciò che hanno scaricato. In ognuno dei due casi l'installer verrà avviato".
Il problema principale è che l'installazione non richiede la password di amministrazione e questo non fa altro che rendere la minaccia ancora più elevata. "Il pacchetto scaricato installa un software chiamato avRunner, che si avvia automaticamente. Contemporaneamente, il pacchetto si cancella autonomamente dal sistema del Mac, in modo da non lasciare tracce dell'installer originale".
"La seconda parte del malware è una nuova versione dell'applicazione MacDefender chiamata MacGuard. Questo falso antivirus viene scaricato dall'applicazione avRunner da un indirizzo IP che è nascosto in un file immagine nella cartella Resources (l'indirizzo IP è stato nascosto tramite una semplice forma di steganografia)".
Il comportamento successivo è noto: iniziano ad apparire pop-up pornografici sullo schermo e il falso antivirus propone all'utente infetto di scaricare un software "premium" che risolverà il problema. Lo scopo è chiaramente quello di indurre una persona a pagare tramite carta di credito, rubando così dati preziosi e sensibili.
Clicca per ingrandire
Secondo Intego il rischio di questa nuova variante è "medio", per il metodo di diffusione sul Web e l'assenza della richiesta della password di amministrazione. "Quando vedete una pagina web che assomiglia alla finestra di Finder e pretende di fare una scansione del vostro Mac, sappiate che è un falso. Abbandonate la pagina, chiudete il browser. Se in questo lasso di tempo il browser scarica qualcosa, e l'applicazione Installer è aperta, chiudetela immediatamente; controllate nella cartella Downloads per trovare il file e cancellatelo. Il passo successivo è togliere la preferenza all'opzione Apri File sicuri dopo il download dalle opzioni generali di Safari".
Un'altra soluzione sarebbe quella di dotarsi di un antivirus in grado di rilevare e bloccare la minaccia, ma non tutti i Mac user sono disposti a farlo, o pensano che sia necessario. Da questa vicenda emerge un fatto molto chiaro: Apple ha risposto con lentezza al problema, mentre chi ha confezionato questa minaccia non ha perso tempo e poco dopo la pubblicazione di un documento in cui la casa di Cupertino spiega come affrontare il problema, ecco la nuova variante. Non ce lo auguriamo, ma che sia solo l'inizio di una battaglia a colpi di malware?