Per infettare macOS ci vuole un file Windows

Trend Micro ha scoperto un nuovo sistema per infettare macOS, che usa i file .exe di Windows.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Per infettare un Mac ci vuole un file Windows. È quello che devono aver pensato gli autori di un attacco piuttosto subdolo, confezionato per colpire il sistema operativo Apple. Un attacco che va a segno perché Gatekeeper, il sistema di controllo integrato, non esamina i file .exe, tipici appunto di Windows. All'interno di essi si può nascondere la minaccia.

Come racconta Dan Goodin su Ars Technica, a scoprire la minaccia sono stati gli esperti di Trend Micro, dopo aver esaminato un'applicazione distribuita tramite file torrent, che si chiama Little Snitch ed era nascosta anche sotto le versioni pirata di programmi famosi come Paragon, Wondershare Filmora, Sylenth1, Traktor Pro 2. Non è stato definito un preciso schema di attacco, ma la maggior parte degli attacchi sono stati registrati in Regno Unito, Australia, Armenia, Lussemburgo, Sud Africa e Stati Uniti.

Il file è contenuto un file .dmg, un'estensione tipica di macOS. Al suo interno c'è però un file .exe, e questo permette di aggirare la protezione di Gatekeeper - un sistema di controllo che verifica la presenza della firma digitale prima di installare un'applicazione. E che non controllare i file .exe, comprensibilmente.

La (brutta) sorpresa è che all'interno del file .exe si nasconde un malware. "Sospettiamo", scrivono i tecnici di Trend Micro, Don Ladores e Luis Magisa, "che questo specifico malware si possa usare come tecnica evasiva per altri attacchi o tentativi di infezione, per aggirare alcune protezioni integrate come i controlli sui certificati digitali".

Un file .exe non si può eseguire su macOS, come avranno notato i lettori più esperti. Qui c'è in effetti il dettaglio importante. Little Snitch infatti include un'istanza di Mono, un framework di virtualizzazione comunemente usato per eseguire applicazioni Windows in altri ambienti - lo si trova spesso sui sistemi Linux.

Il malware, una volta attivato, raccoglie diverse informazioni sul sistema, utili a identificarlo in modo univoco, e sulle applicazioni installate. Successivamente scarica dei veri file .dmg e li installa eludendo Gatekeeper, per attivare delle applicazioni adware - cioè programmi che forzano la visualizzazione di annunci pubblicitari, molto fastidiose e progettate per truffare i legittimi inserzionisti gonfiando a dismisura il numero di visualizzazioni.

Ladores e Magisa ritengono che questa tecnica sia sperimentale, almeno per il momento. "Crediamo che i cybercriminali", scrivono, "stiano ancora studiando lo sviluppo e le opportunità di questo malware".

Morale della favola? Attenti al software pirata, anche se usate macOS. Si è detto e ripetuto all'infinito, ma sono ancora molti quelli persuasi che basti prendere un Mac per cancellare tutti i problemi di sicurezza informatica. Non è così, per quanto la piattaforma Apple conti comunque meno minacce rispetto alla controparte Microsoft; le minacce esistono, e proteggersi è importante.

Con un software di sicurezza, come per esempio McAfee 2019 o Norton 2019 per Mac. Ma anche e sopratutto ricordandosi che scaricare e usare software pirata rappresenta un rischio in più. Nessuno regala niente, e se trovate un programma "gratis" quando la versione ufficiale va pagata, potete dare per scontato che dietro ci sia la fregatura.