Cerca nel blog

2018/01/12

Spiava le persone attraverso le webcam dei Mac: bloccato e incriminato

Credit: Patrick Wardle.
Phillip Durachinsky, un ventottenne residente in Ohio, è stato incriminato come autore di un malware per Mac che ha usato per oltre un decennio per spiare migliaia di vittime. Ha iniziato a farlo quando aveva quattordici anni.

Il malware, denominato Fruitfly, gli consentiva di prendere il controllo dei computer Apple che infettava, registrando dalla webcam e dal microfono, guardando cosa c’era sullo schermo, comandando mouse e tastiera e scaricando file. Ne avevo parlato a luglio del 2017, quando i dettagli del caso erano ancora riservati.

Durachinsky, secondo l’atto di incriminazione, ha usato questo suo malware per infettare e spiare migliaia di computer, rubando dati personali, informazioni bancarie, password e informazioni intime delle vittime, compresi moltissimi bambini: gli atti parlano di “milioni di immagini”. Per questo è accusato anche di produzione di pedopornografia.

Fra l’altro, Durachinsky aveva programmato Fruitfly in modo da mandargli un avviso se una delle vittime infettate digitava parole associate alla pornografia. Il suo intento, insomma, era molto chiaro.

Le intrusioni di Durachinsky sono andate avanti indisturbate per più di dieci anni: Fruitfly è stato scoperto soltanto l’anno scorso dalla società di sicurezza Malwarebytes. All’epoca Apple aveva rilasciato un aggiornamento di sicurezza per bloccare Fruitfly, ma nessuno sapeva chi fosse il suo mandante o creatore. Gli utenti che avevano aggiornato i propri Mac erano al sicuro, ma chi non si era aggiornato ed era infetto con Fruitfly continuava ad essere spiato.

Nei mesi successivi Patrick Wardle, ex dipendente NSA che oggi lavora per la Digita Security e offre strumenti di sicurezza gratuiti per Mac, ha analizzato il malware e ha scoperto come prenderne il controllo (ha trovato i nomi di dominio di riserva usati da Fruitly per comunicare con il suo padrone in caso di emergenza e li ha registrati a proprio nome, ricevendo così i dati inviati dal malware).

Wardle è riuscito a intercettare le comunicazioni fra i Mac infettati e il gestore del malware, scoprendo chi erano le vittime, e ha avvisato l’FBI, mostrando agli agenti i dettagli tecnici delle proprie scoperte. Le indagini hanno poi portato all’identificazione e all’incriminazione di Durachinsky.

Il problema è ora risolto: Fruitfly è stato disattivato e il suo autore non è più in grado di nuocere. Ma il ricercatore di sicurezza che ha snidato Durachinsky non ha parole tenere per Apple, che a suo dire era “concentrata anche sulla prospettiva di un’attenzione mediatica negativa”, rivelando “un esempio sorprendente di quali siano le priorità di Apple... Non è colpa di Apple se questo malware è entrato in tutti questi Mac... è imperativo che gli utenti Mac comuni siano consapevoli che esistono questi hacker malati e perversi che prendono di mira le loro famiglie, ma abbiamo Apple che spinge continuamente questa propaganda di marketing che dice che i Mac sono incredibilmente sicuri. Ma l’effetto collaterale è che gli utenti Mac diventano ingenui o eccessivamente fiduciosi”.

Morale della storia: i “virus” per Mac esistono e chiunque può esserne bersaglio. Meglio non credere troppo alle parole del marketing e attrezzarsi con un po’ di sana diffidenza e con un buon antivirus. Anche su Mac.

18 commenti:

Marco ha detto...

Giustamente scrivi che "i “virus” per Mac esistono", d'altronde c'è un motivo (razionale) per il quale non dovrebbe essere così?

Unknown ha detto...

Mi pare di capire che anche il hacker è stato ingenuo o si è fidato troppo del suo canale di comunicazione col malware. Se avesse criptato il maloppo in arrivo dalla sua creatura, tirava a campare da uomo libero altri 10 anni ancora.

bigo72 ha detto...

Un passaggio non mi è chiaro: come ha fatto Patrick Wardle a registrare a suo nome dominii già registrati?

InMezzoAlCielo ha detto...

Attivissimo:
"Meglio non credere troppo alle parole del marketing e attrezzarsi con un po’ di sana diffidenza e con un buon antivirus. Anche su Mac."

Capisco la fretta ma è meglio ragionare prima di dare questi consigli allarmistici.
Se un utilizzatore macOS non visita siti porno, non scarica software illegale (non installa tools keygen, crack, etc.) per aggirare le protezioni software, film su piattaforme di streaming illegali attraverso applicazioni create ad hoc e da installare inserendo la propria passowrd, non passa il tempo a cercare di "diventare ricco senza lavorare, facendo qualche click qua e la", etc., l'antivirus non serve, o meglio serve se si vuol "credere troppo alle parole del marketing" dei produttori di antivirus.
Chi usa un computer per lavorare, creare, giocare, e infinite altre attività può ragionevolmente vivere tranquillo. Se proprio vuole, per attenuare quello stato di "paranoia" tipico degli utilizzatori Windows, può attivare uno dei livelli di firewall integrato.

Certamente macOS non è totalmente sicuro al 100% riguardo la vulnerabilità, ma insomma installare un antivirus su macOS è un po' come andare in giro con un ombrello anti meteoriti. E' una cosa che fa ridere e crea un disagio.

Paolo Attivissimo ha detto...

InMezzo,

Se un utilizzatore macOS non visita siti porno, non scarica software illegale (non installa tools keygen, crack, etc.) per aggirare le protezioni software, film su piattaforme di streaming illegali attraverso applicazioni create ad hoc e da installare inserendo la propria passowrd, non passa il tempo a cercare di "diventare ricco senza lavorare, facendo qualche click qua e la", etc.

Hai appena descritto la gamma di comportamenti standard di molti utenti, dallo studente abituato a guardare film a scrocco al dirigente che usa il laptop aziendale per scaricare ogni sconcezza possibile :-)

Ho per le mani in questi giorni il caso di una donna che ha avuto uno di questi comportamenti e ora è nei guai. E' un avvocato.

Per cui perdonami ma tu sei un caso raro: all'utente medio l'antivirus serve eccome.

Se hai dubbi, vai in un negozio che fa assistenza Apple e chiedi quanti interventi di questo genere capitano.

InMezzoAlCielo ha detto...

Attivissimo:
"Per cui perdonami ma tu sei un caso raro: all'utente medio l'antivirus serve eccome."

Premesso che ognuno sul proprio computer è libero di fare quello che vuole, però assumendosi la responsabilità di ciò che fa, senza poi incolpare il proprio computer, il sistema operativo o gli eventi sfavorevoli, la questione che ho voluto mettere in evidenza è che è sbagliato incoraggiare la gente a usare un antivirus perché si cade proprio nel tranello delle "parole del marketing".
E si fa allarmismo che va a condizionare, negativamente, proprio quel tipo di utenti che tu stesso vorresti mettere al sicuro.

Senza contare che alla domanda: "ma che antivirus mi consigli per mettere al sicuro il mio Mac?", nè tu, nè io, nè nessun altro è in grado di dare una risposta valida.
L'utente in "stato di preoccupazione" inizierà a interrogare Google e si ritroverà a installare "antivirus" del calibro di Mackeeper (un esempio su tanti) peggiorando drasticamente la sua situazione, se non peggio, anzi diciamola tutta: molto peggio.

Penso sia più corretto far capire a una certa utenza che nessuno fa niente per niente, ovvero chi da la possibilità di scaricare gratis la suite completa di Adobe, lo fa per una serie di motivi, alcuni molto inquietanti. Tranne nei casi in cui sia davvero imbecille, cioè investe il suo tempo e la sua capacità di crackare un software per soddisfare l'avidità di emeriti sconosciuti, rischiando se non la galera poco ci manca.
Chi possiede la copia di un film in prima visione e investe tempo e risorse per disattivare le protezioni, poi renderlo disponibile ai soliti emeriti sconosciuti, senza guadagnarci nulla, è sempre lo stesso imbecille.
Ma la maggior parte di questi soggetti non sono imbecilli.

Quello che andrebbe detto all'"utente medio" è che quando col proprio computer si accede a internet ci si assume la responsabilità di ciò che si fa: visitare siti pedopornografici, scaricare software, film, etc, illegalmente, utilizzare speciali browser per la navigazione nel deepweb, creare account fasulli su Facebook per insultare, o peggio, altra gente, truffare la gente con notizie fasulle, e altre cose, sappi che si va incontro a problemi più o meno gravi che in alcuni casi possono anche rovinare la vita, cioè non si può risolvere semplicemente inizializzando, o formattando, un hard disk.

In sintesi, se questo è ciò che fa l'"utente medio", beh voglio vedere quale antivirus lo mette al riparo e al sicuro.
Capito questo meccanismo, si potrebbe anche affermare che non solo su macOS non server un antivirus, ma anche su Windows "potrebbe" (tra virgolette) essere possibile utilizzare le sole protezioni che Windows stesso mette a disposizione.

puffolottiaccident ha detto...

@InMezzoAlCielo

Paradossalmente, a meno che un o un'utente non vada scientemente a cercar robe che in un sito per famiglie non si possono neanche illustrare, non c'è nessun pericolo reale (per il computer) nel visitare i siti pornografici che si danno delle regole. O per meglio dire, non è assolutamente più pericoloso che cercare la homepage del santone o ufologo di turno di cui si è riferito una cazzata.

I pirati son stranamente attenti a non farsi la nomea di quelli che ti zombificano o ricattano dopo averti dato accesso ad un programma che costerebbe 1000$. Posso solo indovinare le ragioni, ma immagino che con 1'000'000 di visualizzazioni su banner pubblicitari si facciano più soldi che steccando 3 persone e alienandosi la fiducia di tutti.

Stranamente i veri pericoli si corrono quando si fa qualcosa che 100/100 definirebbe lecito. (Se lavori in un ambiente in cui, se consegni il tuo lavoro, nessuno si scandalizza se ti guardi 2 gattini.) Ad esempio quando si cercano funzioni per GIMP o BLENDER. Queste, nel mondo di Evaristo son le robacce che bisogna fare con un computer, o shell, sacrificabile.

Quanto al problema del recupero...

Stessa roba che rispondere alle domande del medico:
Se a causa dell'eccessivo imbarazzo menti al medico sulle cause di una condizione letale, la faccenda può finire solo in due modi:

1) Il medico indovina quello che stai cercando di nascondergli
2) Muori

Io direi che la parte critica quando succedono 'ste cose, il lato in cui i bambini sono impreparatissimi, quello che manca nei corsi non è tanto il "come non prendersi schifezze"

Quello che ai bambini manca, e probabilmente la parte difficile nell'affrontare il problema è il concetto: "Quando arriva il medico/meccanico" spiegagli esattamente quello che sai su come è successo l'inghippo.

Un po' come quando un eroinomane muore di overdose: spesso quello che lo ammazza è il fatto che i suoi amici non possono permettersi di chiamare un'autoambulanza, più che la tossicità della skifezza che si è iniettato.

mc4777 ha detto...

Scusa Paolo, lungi da me di fare il fanboy, ma sonopiù di trent'anni che vendo e assisto prodotti Apple e da quando esiste OS X non ho mai, dico mai dovuto assistere qualcuno perché infetto da un virus o malware di alcun genere ...certamente negli ultimi tempi ci sono spesso gli adware, estensioni per i browser che si installano troppo facilmente ma che non fanno altro che reindirizzare fastidiosamente, e molti MacKeeper (che peraltro dimostra quando gli utenti siano ...utonti :-D).
Ho sottolineato da quando esiste OS X perché invece quando c'era l'OS Classic ci sono stati abbastanza virus, ma con il cambio di sistema operativo tutto è sparito.
E sottolineo anche che sono perfettamente consapevole che OS X o iOS non sono immuni, semplicemente ce ne sono talmente pochi e hanno una diffusione talmente scarsa da poter vivere tranquilli anche senza antivirus o paranoie ...
Ciao
Marco

Paolo Attivissimo ha detto...

InMezzo,

Senza contare che alla domanda: "ma che antivirus mi consigli per mettere al sicuro il mio Mac?", nè tu, nè io, nè nessun altro è in grado di dare una risposta valida.

Falso. Di solito non faccio nomi specifici per non fare pubblicità, ma se proprio li vuoi: Intego, F-Secure, Kaspersky, giusto per citarne alcuni.

Patrick Costa ha detto...

Kaspersky tutta la vita! In ambiente Windows... Su MAC non mi esprimo visto che non uso il sistema!

Stefano Rosina ha detto...

InMezzo,
te lo dico da addetto ai lavori, i virus non li prendi visitando siti porno o scaricando film, i virus si installano aprendo un'email di un trasportatore che non è riuscito a consegnarti un pacco, da una comunicazione della banca, da una bolletta, operazioni che fai spesso per cui soggette ad un attimo di disattenzione, click e stampa, click e stampa, click e "ca..o ho cliccato !?!?!"
Poi arriva tuo nipote con una chiavetta usb che ti fa "zio mi scarichi le foto della gita ?" e sei fregato un'altra volta. Per cui un antivirus serve, anche solo per evitare di essere un inconsapevole portatore sano.

il Guasta ha detto...

Nel 2018 c'è davvero qualcuno che dice ancora la frase "se non visiti siti porno non prendi i virus al computer"? Era una frase lontana dalla realtà già quando dovevo accendere il modem 56k e chiedere il permesso alla mamma per navigare perché occupavo la linea telefonica...

Guastulfo (Giuseppe) ha detto...

@il Guasta
Era una frase lontana dalla realtà già quando dovevo accendere il modem 56k e chiedere il permesso alla mamma per navigare perché occupavo la linea telefonica...

No, non lo era. Molti siti porno non erano "seri": se li visitavi rischiavi di installarti un dialer che impostava il modem per chiamare un numero a "valore aggiunto", quelli con prefisso 144, 166, ecc....

C'è da dire che questo poteva accadere anche con siti che distribuivano vario materiale più o meno "interessante", dal programma piratato agli appunti per un corso d'esame, all'anticipazione delle tracce di maturità (sì c'era gente che era convinta di essere talmente furba da trovare solo lei, in un luogo "nascosto" come internet, le tracce degli esami anche un mese prima :-D).

Si potrebbe anche dire che i dialer non erano veri e propri virus.

A proposito di cose lontane dalla realtà, quando giunse dalle mie parti l'ADSL molti sconsigliavano di installarla perchè, siccome era più veloce, ti buscavi più virus...

Scatola Grande ha detto...

Attualmente trovo molte schifezze cercando dll (librerie dinamiche per Windows) da scaricare perché mancanti o anche alcuni programmi di pubblico dominio ospitati da siti dubbi.
Quelle dalla posta elettronica devono essere numerose ma ormai i filtri antispam ne eliminano la stragrande maggioranza.

Ma per email ormai conviene chiedere direttamente soldi per un bonifico!

InMezzoAlCielo ha detto...

Stefano Rosina ha scritto:
"Per cui un antivirus serve, anche solo per evitare di essere un inconsapevole portatore sano."

Fammi capire, mi sfugge il senso del tuo ragionamento, secondo te dopo essermi liberato dell'ossessione degli antivirus e di Windows e di tutte le problematiche tipiche di questo sistema operativo, oggi per proteggere gli utenti Windows devo installare un antivirus? A mie spese e a spese delle risorse dei miei Mac?
Facciamo invece che miglioriamo un po' tutti la nostra "alfabetizzazione" sull'uso di un computer che si collega a Internet? Il problema, mi pare di capire, sia più in chi non si rende conto di cosa fa su Internet, più che di chi crea e diffonde un virus.
Iniziamo a risolvere il problema a monte, magari facendo più informazione che allarmismo. Che non risolve il problema al 100%, ma lo riduce drasticamente.
Poi, il meteorite che può colpirci in testa... quello è sempre in agguato.


Il Guasta ha scritto:
"Nel 2018 c'è davvero qualcuno che dice ancora la frase "se non visiti siti porno non prendi i virus al computer"?"

A parte che non hai compreso il senso del mio ragionamento sui siti porno, questo 2018 sono 12 anni che sono passato da Windows a Mac. Sarò diventato ignorante, forse non seguo più le mode, eppure da allora non so più cosa vuol dire formattare (inizializzare) per colpa di un virus. Ma non ricordo più nemmeno il significato di deframmentazione, pulizia del registro, cancellazione dei file inutili, quelle incredibili manomissioni del registro di sistema per migliorare le prestazioni.
Perché devo alterare questo mio stato Zen?

Paolo Attivissimo ha scritto:
"Di solito non faccio nomi specifici per non fare pubblicità, ma se proprio li vuoi"

No grazie, come se avessi accettato, anche a nome di altri milioni di utilizzatori macOS.

Guastulfo (Giuseppe) ha detto...

@InMezzoAlCielo
Poi, il meteorite che può colpirci in testa... quello è sempre in agguato.

Somiglia molto al "A cosa servono le cinture di sicurezza, io vado piano e rispetto il codice della strada, poi il meteorite che può colpirci in testa..."

L'antivirus è l'equivalente delle cinture di sicurezza: io posso andar piano con l'auto ma mi può piombare addosso un imbecille con la Porsche (ed è accaduto veramente) e le cinture possono fare la differenza.

L'antivirus può sembrare poco utile se si guarda al singolo, esattamente come le cinture o gli airbag, ma se si guarda a una moltitudine di utenti le cose cambiano.

Basti pensare al caso mostrato nell'articolo di Paolo: non so se un malware del genere sarebbe sopravvissuto per più di 10 anni se gli utenti mac si fossero dotati di un antivirus. E infatti non mi risulta che in ambiente Windows sia mai accaduta qualcosa del genere

ST ha detto...

@inmezzo
In parte hai ragione ma non puoi escludere a priori che mai riceversi una mail con un viruso di prenderne uno per un attimo di disattenzione. E poi, come dici tu, il meteorite può capitare. Sei disponibile a tischiare di perdere tutto per pochi euro o un rallentamento che nemmeno noti?

InMezzoAlCielo ha detto...

ST ha scritto:
"In parte hai ragione ma non puoi escludere a priori che mai riceversi una mail con un viruso di prenderne uno per un attimo di disattenzione."

Non l'ho mai escluso infatti, sono più che consapevole del problema.
Poi dipende anche da quale piattaforma mail stai usando. Ad esempio Gmail, fai una prova, invia un allegato zippato o qualsiasi altro formato compresso che contiene ad esempio un innocuo script in Java.

Comunque, pochi giorni fa è stata pubblicata la notizia riguardo MaMi, il primo malware (trojan) del 2018 che attacca macOS, dirotta il traffico Internet modificando le impostazioni DNS inviando informazioni, screenshot, eseguendo comandi, etc.: https://www.securityinfo.it/2018/01/15/mami-primo-malware-mac-del-2018/
Il punto interessante è che non solo non si conosce quale sia il vettore dell'infezione ma che nessun antivirus è in grado di individuarlo, ad oggi almeno, e il ricercatore che lo ha scoperto suggerisce di usare un firewall.
Mi pare quindi di rientrare nella fascia "protetta" di chi utilizza un firewall, già integrato nel mio sistema.

Ma il firewall integrato non è il solo che mi protegge (ci prova almeno), c'è anche il Gatekeeper: https://en.wikipedia.org/wiki/Gatekeeper_(macOS) che che insieme a Xprotect silenziosamente e senza nessun tipo di configurazione da parte mia verifica e scansiona da possibili malware. Parliamo di funzionalità che entrano in modalità "visibile" quando ad esempio scarichi un software non approvato digitalmente (firma) da Apple.
Tutti gli aprofondimenti sui riferimenti che ho riportato, in questo articolo su Macworld: https://www.macworld.co.uk/how-to/mac-software/do-macs-get-viruses-do-macs-need-antivirus-software-3454926/

Ora, questo può farmi affermare che posso ritenermi al sicuro al 100%? Per l'ennesima volta la mia risposta è NO.
La tegola, il meteorite: Transmission uno dei più noti programmi BitTorrent su Mac che era stato letteralmente sostituito nel sito ufficiale con una versione che conteneva un ransomware. Chi lo ha scaricato, dal sito ufficiale, si è infettato.