Microsoft sembra di avere le prove di un collegamento tra il finto antivirus per Mac OS X che sta circolando in rete in queste ore e un software simile per Windows. Queste applicazioni, denominate dagli esperti “rogueware” o “scareware” circolano da diverso tempo su Windows e finora non si erano viste varianti per Mac OS X. Il malware viene installato (dopo aver indicato nome utente e password dell’amministratore) come un software nella cartella applicazioni del Mac e anche tra gli elementi di avvio del sistema. L’applicazione informa l’utente d’infezioni (fasulle) attive e propone di procedere alla pulizia del sistema acquistando la versione completa del software. Se l’utente non porta a termine la “registrazione” (pagando 79.95$), il sistema viene infestato con pagine di siti e immagini pornografiche.
Gli ingegneri che lavorano per il Microsoft Malware Protection Center (MMPC) spiegano che su internet vengono create pagine web ad hoc con cui adescare i malcapitati, identificando il sistema operativo dell’utente e proponendo scareware per Windows o Mac OS X. Interessante notare come lo scareware denominato “Win32/Winwebsec” su Windows e “MacOS_X/FakeMacdef” su Mac OS X, sembra sia creato dalla stessa banda di cybercriminali/scammer. Sono state, infatti, notate similarità nel codice (URL per l’acquisto, chiamate a destinazione e gateway di pagamento identici tra le due versioni) con la sola pagina di destinazione modificata in modo da portarsi su “buy.php” nella versione per Windows e su “mac.php” nella variante per Mac OS X. Gli scammer sono probabilmente di origine russa: nelle risorse delle applicazioni, infatti, sono state individuate cartelle con nomi quali “ru.lproj” anziché il solito “en.lproj” che normalmente si trova in tutte le applicazioni.
Winwebsec, un falso software di sicurezza che si diffonde principalmente attraverso i canali P2P o visitando siti poco affidabili, ha infettato secondo Microsoft non meno di 600.000 PC con Windows nel solo quarto trimestre del 2010. Non si tratta tuttavia del più prolifico di sempre: sembra sia battuto da “FakeSpypro”, il quale ha causato il doppio numero d’infezioni, e da “FakePAV”, uno scareware che in apparenza si presenta come parte della famiglia “Security Essential” di Microsoft.
Microsoft consente la cancellazione di numerosi scareware, tramite lo “Strumento di rimozione malware”, del quale viene rilasciata una versione aggiornata il secondo martedì di ogni mese. Hamish O’Dea e Tareq Saade sul blog Microsoft dedicato al Malware Protection Center consigliano anche agli utenti Mac di ricorrere a software antivirus prodotti da aziende note e conosciute. Tra i produttori che offrono antivirus per Mac: Symantec, Sophos e Intego.
[A cura di Mauro Notarianni]