Crossrider è una variante di un malware Mac che sfrutta i profili di macOS

I cybercriminali studiano nuovi modi per invogliare gli utenti a installare software malevoli sul Mac e complicare la loro rimozione. L'ultima novitàè l'uso dei profili di configurazione dei Mac.

Gli sviluppatori di Malwarebytes hanno individuato una variante di un malware per Mac denominato Crossrider. SI tratta di un adware (una tipologia di software malevolo pensato per mostrare inserzioni pubblicitarie) che viene proposto con il più classico dei meccanismi: spacciato come una nuova versione del Flash Player di Adobe per Mac: l’utente accetta l’installazione indicando nome utente e password e il sistema viene “infettato”. Al termine dell’installazione, viene avviato un software denominato “Advanced Mac Cleaner” che, guarda caso, comincia ad annunciare una serie di presunti problemi sul Mac usando la voce di Siri. Anche Safari mostra avvisi pop-up avvisando della presenza di presunti problemi (ovviamente sono tutti messaggi ingannevoli, pensati per fare spaventare il malcapitato di turno). L’homepage del browser di Apple viene modificata e apre costantemente un dominio, in qualche modo legato probabilmente agli sviluppatori di Crossrider. Inutile è cercare di ripristinare la propria home page, il malware modifica costantemente la pagina di default, cambiandola con quella in questione.

Il finto Flash Player mostrato all'utente crossrider
Il finto Flash Player mostrato all’utente

Il malware viene diffuso come già detto con il più classico dei meccanismi di phishing (invitando gli utenti a scaricare un software apparentemente indispensabile) e si installa indicando nome utente e password dell’utente.

Non è particolarmente pericoloso o complesso ma a renderlo in qualche modo unico è il meccanismo di infezione permanente studiato da chi l’ha ideato: installando un profilo nel sistema. macOS consente di sfruttare quelli che in gergo si chiamano “profili di configurazione”: questi consentono di standardizzare le impostazioni per i Mac.

Per esempio, un amministratore può impostare profili che configurano i Mac per interagire con server su network aziendali o scolastici. Un profilo di configurazione può contenere impostazioni per l’account Mail di un utente, le impostazioni Wi-Fi, le impostazioni VPN e altro ancora. I profili di configurazione sono utili per chi ha bisogno di amministrare più dispositivi e possono essere utilizzati sui Mac, sui dispositivi iOS, su Apple Watch e su Apple TV.

Il profilo di configurazione installato dal finto Flash Player
Il profilo di configurazione installato dal finto Flash Player

Nel caso della variante di Crossrider, il profilo di configurazione è sfruttato per modificare l’homepage di Safari e Chrome affinché aprano sempre il sito n chumsearch[punto]com ma anche per impedire all’utente di effettuare modifiche alla pagina di default aperta dal browser. Il profilo può essere visualizzato aprendo le Preferenze di Sistema e facendo click sull’icona Profili (se non vedete questa voce, significa che sul vostro sistema non sono installati profili).

Il profilo di questa variante di Crossrider è installato con un identificativo di com.myshopcoupon.www, non visibile nelle Preferenze di Sistema; può ad ogni modo essere identificato scorrendo i dettagli e guardando i riferimenti a to chumsearch[punto]com. È possibile rimuovere il profilo “malevolo” selezionandolo nell’elenco Profili e facendo click sul pulsante “-” (rimuovi). Gli amministratori di sistema hanno a disposizione anche dei comandi da Terminale per eseguire l’operazione.