La scorsa settimana su un computer di un partecipante ai lavori del Freedom Forum di Oslo sui diritti umani è stato individuato un malware che alcuni ricercatori hanno denominato “OSX/KitM.A”. Il malware in questione installa un’applicazione negli elementi di login, quest’ultima cattura schermate e le manda a una cartella denominata “MacApp” che si trova all’interno della cartella home dell’utente da dove, al momento opportuno, possono essere inviate ai domini securitytable.org e docsforum.info.
Particolarità interessante è che l’applicazione-backdoor è firmata con l’Apple Developer ID, la certificazione che dovrebbe garantire che le applicazioni non siano portatrici di malware o non siano in qualche modo manomesse per scopi non espressamente indicati dallo sviluppatore. I ricercatori di F-Secure affermano ora di aver individuato una variante, denominata “OSX/HackBack.B”, circolata tra dicembre 2012 e febbraio 2013, inviata come applicazione allegata a messaggi di posta elettronica usando per il file questi nomi:
• Christmas_Card.app.zip
• Content_for_Article.app.zip
• Content_of_article_for_[NOME RIMOSSO].app.zip • Interview_Venue_and_Questions.zip
• Lebenslauf_für_Praktitkum.zip ( traduzione di: “curriculum per stage”)
La variante ha sfruttato un server di comando e controllo rumeno (“liveapple.eu”). F-Secure evidenzia che il malware non è particolarmente complesso (per rimuoverlo, basta eliminare l’applicazione dagli elementi di login) e pare avere come target utenti tedeschi. Come abbiamo spiegato moltissime volte e non ci stancheremo mai di ripetere, OS X è un sistema operativo robusto e affidabile, dotato di serie di svariati meccanismi di protezione che consentono di navigare sul web con estrema tranquillità, al sicuro da virus e malware.
Tutte queste tecniche non servono però a nulla senza un minimo di acume e sono vane se l’utente non rispetta o conosce alcune precauzioni. Abilitate (dalla sezione “Account” di Preferenze di Sistema) almeno due utenti: uno con privilegi di amministratore e l’altro no. La maggior parte di malware esistenti per OS X affinché possano effettivamente attaccare il sistema, al contrario di vere applicazioni malevole, richiede lo scaricamento di un’applicazione, il consenso all’esecuzione della stessa e l’inserimento di nome e password dell’utente amministratore. Se si compiono simili azioni, cedendo alla tentazione di pensare che nulla può scalfire il nostro sistema, non esiste alcun tipo di antivirus o di difesa efficace.
Una semplice regola di prudenza prevede di lavorare con privilegi di amministratore solo quando è strettamente indispensabile: installare aggiornamenti del sistema operativo, eseguire procedure di manutenzione, installare applicazioni note e di provenienza inequivocabile, ecc. È buona norma creare almeno due utenti: un utente amministratore e un utente senza privilegi e usare quest’ultimo per svolgere le normali attività, delegando all’utente amministratore solo alcuni compiti e usando questa utenza solo quando è strettamente necessario.
