skip to main | skip to sidebar
5 commenti

Spaventati per il malware che ricatta gli utenti Mac? Ma anche no


Pochi giorni fa è stato messo in circolazione il primo ransomware per computer Apple: ignoti sono entrati nei server del sito che ospita Transmission, una popolare app per scaricare file con il protocollo Bittorrent, e vi hanno collocato una versione infetta dell’app. Chi la scaricava e installava sul proprio Mac rischiava di trovarsi tre giorni dopo con tutti i dati bloccati da una password che veniva concessa soltanto dietro pagamento di un riscatto pari a un bitcoin (circa 400 dollari).

La vicenda è interessante perché si tratta del primo ransomware che colpisce gli utenti Mac, molti dei quali si sono improvvisamente resi conto di non essere invulnerabili come proclama una diffusa mitologia, e perché i criminali hanno preso il controllo di un sito normalmente affidabile e l’hanno usato per diffondere la loro app infettante, che è stata battezzata KeRanger. Hanno inoltre firmato digitalmente l’app con un certificato di sviluppo valido, cosa insolita che ha consentito all’app di superare le normali protezioni dei Mac (che solitamente accettano di installare soltanto app che hanno questa certificazione di autenticità).

Un attacco sofisticato, insomma. Ma quanti danni ha fatto? Secondo le prime analisi degli esperti, pochi. L’app infetta è stata rimossa dal sito quasi subito e sostituita con una versione pulita. Si stima che la versione infetta sia stata scaricata circa 6500 volte, per cui non siamo di fronte a un’infezione su vasta scala. Chi non ha scaricato Transmission il 4 o 5 marzo scorso non corre alcun rischio da KeRanger.

Inoltre Apple ha revocato prontamente il certificato di sviluppo usato per firmare l’app infetta e ha aggiornato automaticamente il sistema antimalware dei Mac affinché rilevi KeRanger. Di conseguenza, oggi un utente per infettarsi dovrebbe:

– andare a cercare in qualche sito di software pirata una copia di Transmission (cosa priva di senso, visto che Trasmission è liberamente scaricabile dal sito originale)
– scaricare una copia di Transmission che è infetta
– disattivare tutte le principali protezioni del Mac per installarla.

Questo non vuol dire che il pericolo è passato definitivamente, perché la stessa tecnica potrebbe essere usata in futuro su scala più vasta e con effetti molto più estesi. Stavolta è andata bene, ma è meglio cogliere l’occasione per imparare che l’invulnerabilità in informatica è soltanto un mito diffuso dal marketing. Anche per gli utenti Mac.


Fonti: Kaspersky, Ars Technica, TechCrunch, Palo Alto Networks
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (5)
Attacco simile anche a Linux Mint il 20 febbraio. Non era un ransomware ma una backdoor. Il canale di distribuzione ufficiale se ho capito bene era stato dirottato altrove (Romania?) dove si scaricava la versione ISO inquinata.
Anche qui l'attacco è durato poco.
http://blog.linuxmint.com/?p=2994

Questi fatti comunque sono salutari, perché permettono di intercettare criticità (che esistono in ogni sistema) e di predisporre misure difensive. Nessun sistema è invulnerabile ma alcuni sono assai piu' vulnerabili di altri.
Vero, Francesco, e in quel caso, è stato Wordpress (con cui hanno fatto il sito) a venire bucato, da quel che ricordo. Almeno prima capitava a chi scaricava da siti pirata, mentre ora è lampante che non si sicuri neanche dai siti ufficiali. Non che mi aspettassi che i siti ufficiali dovessero essere sempre sicuri al 100% e invulnerabili, e Wordpress sarà anche un colabrodo, ma vederli bucati così uno dopo l'altro, siti in cui ci si aspetterebbe più controllo, mi inquieta un po'. Anche se hanno sistemato in fretta e l'hanno preso in relativamente pochi, a chi capita sono 400 dollari o la perdita di tempo per ripristinare. Può capitare a chiunque, a me a te, a chiunque altro. Sento meno tranquillità di prima.
Ora non so quanti paghino il riscatto, ma fossero uno su venti di quei 6500, farebbero 130'000 dollari, che sarebbe un bottino più che sufficiente per incoraggiarli a penetrare in altri siti e ripetere lo scherzetto.
- disattivare tutte le principali protezioni del Mac per installarla


no, e perchè? il problema dell'infezione è che col certificato contraffatto il programma infetto riusciva ad aggirare le protezioni del mac.
inoltre mi è sembrato di capire (ma di questo non sono sicuro) che fosse stato compromesso anche il sito ufficiale di transmission e quindi erano a rischio anche i download da lì.

al di là di come siano andate realmente le cose, questo secondo me è stata soltanto un tentativo, un modo per testare la possibilità di attacco e le difese del sistema.
sono convinto che fosse solo un preludio per un futuro attacco su larga scala, e che sia ora che gli utenti mac si sveglino e imparino un minimo di normale "igiene informatica".

d'altra parte la cosa ha messo in luce anche la rapidità di reazione di apple, che ha identificato e chiuso il problema in meno di 72 ore.
F,

quella che descrivi era la situazione passate. Infatti ho scritto che "oggi un utente per infettarsi dovrebbe...".
passate = passata, ovviamente :-)