Sophos e Intego, due società specializzate in sicurezza, avvertono di aver individuato un Trojan per Mac OS X nascosto in alcune copie pirata di GraphicConverter v.7.4. Il malware, ribattezzato “OSX/Miner-D o “DevilRobber”, sfrutta la GPU della scheda video per generare falsi Bitcoins (moneta elettronica creata nel 2009), cerca di rubare nome utente e password catturando ciclicamente delle schermate e invia la cronologia del browser (l’elenco delle pagine web visitate) a server remoti.
Se l’utente usa già Bitcoin, il malware cerca di rubare credito dal portafoglio virtuale. L’implementazione Bitcoin ha ottenuto un discreto successo nel mondo open source anche se il sistema è stato più volte oggetto di attacchi, nonostante esso sfrutti avanzati sistemi crittografici.
Il malware incluso nella versione modificata di GraphicConverter è stato incorporato in versioni specificatamente distribuite su sistemi di file sharing ed è dunque facile da evitare: basta scaricare l’applicazione dal sito del produttore e non da sistemi peer to peer per la distribuzione di file torrent. Dopo aver chiesto nome utente e password dell’amministratore, la versione piratata e modificata del software installa un’applicazione Java denominata “DiabloMiner” che sfrutta la GPU in modo intenso per eseguire una serie di calcoli con i quali generare validi Bitcoins. Poiché si nasconde all’interno di un’applicazione legittima a tutti gli effetti, le società di sicurezza hanno preferito classificare l’applicazione come “Trojan”, benché essa possa essere classificata anche come backdoor o spyware poiché, tra le altre cose, invia senza autorizzazione dati riservati a server remoti. Gli utenti colpiti dal malware potrebbero notare rallentamenti nel sistema, in particolare durante l’esecuzione di operazioni che sfruttano la scheda video. I produttori di antivirus hanno aggiornato le definizioni ed è probabile che anche Apple aggiornerà il sistema integrato in OS X che identifica automaticamente alcuni malware.
Ovviamente gli utenti legittimi di GraphicConverter non hanno nulla da temere. È bene notare ancora una volta come questa tipologia di software maligno non sfrutta alcun baco di sicurezza di OS X ma conta sulla buona fede e la leggerezza dell’utente finale. Una ragione in più per ripetere la raccomandazione più comune per evitare problemi quando si naviga su Internet: non scaricare file, applicazioni, documenti di nessun tipo da siti non affidabili e nel dubbio, quando un programma chiede password e login di sistema o informazioni personali, declinare sempre le richieste.
[A cura di Mauro Notarianni]