Qualche settimana addietro la società Indigo segnalava di aver individuato una finta applicazione che si mascherava da Flash Player, richiedendo nome utente e password all’utente per installarli in modo da disabilitare le funzioni intrinseche del sistema e inviare informazioni a un server remoto. Il trojan, denominato OSX/flashback.A è l’ennesimo tentativo di distribuire malware per Mac OS X, scavalcando i sistemi di protezione interni del sistema operativo di Apple. Come facilmente prevedibile sono arrivate le varianti più aggressive e una denominata OSX/Flashback.B ora prova (sempre richiedendo nome utente e password) non solo a inviare dati a un server remoto ma anche a iniettare codice nelle aree di sistema che richiedono l’accesso dell’amministratore. L’installer del malware tiene conto se nel sistema è installato Little Snitch, un firewall che impedisce comunicazioni tra le app locali e i server remoti; se l’applicazione individua Little Snitch, il programma viene terminato e cancellato dal sistema, anziché continuare tentativi di installazione. Gli autori probabilmente hanno pensato che in questo modo, il software non può essere individuato: è ad ogni modo interessante notare come strumenti semplici bloccano il terreno agli sviluppatori di Trojan, al punto che un semplice tool come Little Snitch, fa in modo che non è possibile proseguire.
I consigli sono gli stessi che ripetiamo da sempre: non scaricare nulla da siti che non siano più che affidabili; in particolare, per quanto riguarda Flash la fonte pressoché unica da cui ottenere l’installer è il sito Adobe. La maggior parte di malware esistenti per Mac OS X affinché possano effettivamente attaccare il sistema, al contrario di vere applicazioni malevole, richiede lo scaricamento di un’applicazione, il consenso all’esecuzione della stessa e l’inserimento di nome e password dell’utente amministratore. Se si compiono simili azioni, cedendo alla tentazione di pensare che nulla può scalfire il nostro sistema, non esiste alcun tipo di antivirus o di difesa efficace. Una semplice regola di prudenza prevede di lavorare con privilegi di amministratore solo quando è strettamente indispensabile: installare aggiornamenti del sistema operativo, eseguire procedure di manutenzione, installare applicazioni note e di provenienza inequivocabile, ecc. E’ buona norma creare almeno due utenti: un utente amministratore e un utente senza privilegi e usare quest’ultimo per svolgere le normali attività, delegando all’utente amministratore solo alcuni compiti e usando quest’utenza solo quando è strettamente necessario.
[A cura di Mauro Notarianni]
