Il francese Macgeneration torna sulla questione dell’ultima variante di Flashback, il malware che avrebbe colpito secondo la società russa Dr Web non meno di 600.000 utenti Mac. In molti si sono chiesti se i dati non siano stati “gonfiati” ad arte per farsi un po’ di pubblicità (cosa non difficilissima, visto che essendo Apple sempre al centro dell’attenzione dei media, basta poco per far parlare di sé), ma ora in soccorso dei colleghi, arriva ad un post di Igor Soumenkov della concorrente società Kaspersky, anch’essa specializzata in sicurezza.
Kaspersky ha analizzato la situazione prendendo in considerazione la variante del malware distribuita su alcuni siti come se si trattasse di un Flash Player (Apple di serie non installa più il Flash Player con OS X, un modo astuto per i creatori di malware di ingannare utenti poco esperti, che non sanno che l’unico sito sicuro da dove scaricare il Flash Player è il sito Adobe). Questo trojan, anziché installare il plug-in per Flash, dopo aver indicato le proprie credenziali (nome utente e password) installa un software che rimane in attesa di componenti da scaricare ed eseguire da un server. Soumenkov e il suo team hanno eseguito il reverse engineering del programma che comunica con il Command and Control (C&C) server, scoprendo che il nome di dominio cui fare riferimento è ottenuto con algoritmi che tengono conto della data e altre variabili memorizzate nel corpo del trojan codificate con la cifratura RC4 sfruttando l’UUID del computer. Applicando una serie di calcoli, i ricercatori hanno confermato la presenza di più di 600.000 bot connessi al server e più del 50% di questi residenti negli Stati Uniti. Confermare che le macchine in questione siano tutti davvero Mac non è facile: stime approssimative permettono ad ogni modo di confermare che almeno il 98% delle macchine colpite dal trojan siano computer prodotti da Apple. I dati che permettono di identificare le macchine sono facilmente modificabili, ma i creatori del trojan in questione non avrebbero alcun interesse a farlo (il bug Java in questione è stato sfruttato su altre piattaforme alcuni mesi fa).
Per quanto riguarda i 600.000 Mac infetti, sono certamente un numero tutto sommato modesto (solo lo scorso anno, Apple ha venduto circa 18 milioni di unità e i Mac in funzione in tutto il mondo si calcola variano dai 45 milioni ai 75 milioni) ma non da sottovalutare. Non è neppure da sminuire il fatto che la situazione corrente non si sarebbe verificata, almeno nelle proporzioni attuali, se Apple avesse rilasciato le patch per Java, quando la vulnerabilità è stata scoperta e resa nota.
In futuro, in ogni caso, queste situazioni non dovrebbero ripetersi. Come abbiamo già detto ieri, sviluppatori e rispettati esperti nel campo della sicurezza valutano positivamente l’integrazione del Gatekeeper nel futuro OS X 10.8 Mountain Lion. Per impostazione predefinita gli utenti del futuro sistema operativo potranno installare solo applicazioni firmate dagli sviluppatori mediante certificati digitali (l’opzione può essere disattivata dalla sezione “Sicurezza e Privacy” delle Preferenze di Sistema), un meccanismo che consente di installare le app solo se queste provengono da una fonte sicura. Sarà anche possibile eseguire applicazioni “non firmate” disabilitando la relativa opzione nelle Preferenze di Sistema o scegliendo espressamente questa opzione con il tasto destro del mouse.
[A cura di Mauro Notarianni]
