I pirati informatici sono sempre alla caccia di nuove e ingegnose tecniche per camuffarsi agli occhi degli utenti, ma il nuovo malware per Mac battezzato CrescentCore si spinge oltre, implementando due tecniche per nascondersi agli occhi degli esperti di sicurezza.
Anche il nuovo CrescentCore sfrutta quella che sembra essere una caratteristica molto gettonata dai malware per Mac, vale a dire quella di camuffarsi come finto file immagine DMG per l’installazione o l’aggiornamento di Flash Player, tecnologia e riproduttore multimediale che ormai nessun utente Apple o Windows dovrebbe più impiegare.
Per rendere più appetibile download e installazione agli utenti ignari, CrescentCore viene distribuito dai siti che promettono il download gratuito di film, spettacoli e serie TV, musica, libri, fumetti e quant’altro.
Ma quando viene installato, anche per essere studiato e vivisezionato dagli esperti, CrescentCore sfoggia due armi insolite. La prima è che questo malware per Mac verifica se è in esecuzione su un computer reale o invece su una macchina virtuale. Si tratta infatti di una tecnica molto usata dai ricercatori di sicurezza per maneggiare file e software pericolosi, evitando di dare il via a infezioni al sistema che usano per lavoro.
La seconda verifica esamina se sul computer nel quale viene eseguito è presente o meno un software antivirus e antimalware. Se viene rilevata una delle due condizioni il malware per Mac CrescentCore si disattiva immediatamente senza effettuare ulteriori operazioni, una tecnica per evitare il più possibile lo sguardo degli esperti ma che sembra non sia servita a tenere alla larga Intego, da sempre specializzata in software e sicurezza Mac. Se invece la situazione è ideale l’esecuzione prosegue: viene installato LaunchAgent definito come una infezione persistente, mentre un’altra versione installa Advanced Mac Cleaner o una estensione di Safari.
Come ormai avviene da anni, anche gli esperti Intego sconsigliano a tutti gli utenti Mac di non installare nemmeno le versioni originali e ufficiali di Flash Player. La tecnologia è non solo obsoleta, perché superata da HTML 5 e non più utilizzata dai siti web, ma player e aggiornamenti sono da sempre sfruttati per installare e diffondere malware.
Nei primi 3 mesi di quest’anno è stato osservato un deciso incremento di oltre il 50% nei malware per Mac.
