Per diversi mesi un non meglio identificato gruppo ha messo in atto un’operazione di spionaggio digitale prendendo di mira alcuni utenti Mac, e Apple, che aveva scoperto il problema, non ha condiviso le definizioni del malware con i produttori di software antivirus. A riferire la vicenda è un ricercatore specializzato in sicurezza, Patrick Wardle citato da Ars Technica.
Secondo quanto spiega il sito, la minaccia alla quale si fa rferimento è denominata “Windshift”, appartiene alla categoria APT (advanced persistent threat) ed è stata sfruttata per sorvegliare alcuni soggetti in Medio Oriente. Il gruppo – riferisce ArsTechnica – ha agito nell’ombra per due anni fino ad agosto di quest’anno quando Taha Karim, ricercatore dell’azienda specializzata in sicurezza DarkMatter, ha redatto un profillo del malware nel corso della conferenza Hack in the Box di Singapore.
La minaccia viene portata a termine con meccanismi di phishing (tipicamente l’invito a visitare un link riportato in una mail o l’invio di messaggi con link che, aperti, consentirebbero di individuare la posizione della vittima, le sue abitudini oline e altre caratteristiche). In casi estremi, a quanto pare Windshift sarebbe in grado di sottrarre documenti dal Mac della vittima e catturare schermate del Desktop. Il malware sfrutterebbe un meccanismo di nuova generazione che in qualche modo avrebbe permesso di bypsassare i vari sistemi di difesa intrinseci in macOS.
Il file in questione non è stato identificato come malware da VirusTotal e solo due prodotti antivirus, Kaspersky e ZoneAlarm, l’hanno bollato come “malevolo”. Quel che sorprende è che Apple ha già revocato il certificato crittografico che lo sviluppatore ha usato per firmare digitalmente il malware. In altre parole Apple conosceva l’esistenza del malware ma non ha condiviso con la comunità degli sviluppatori antivirus le definizioni che potrebbero consentire ai programmi in questione di identificare il software malevolo. I server di controllo che il malware contattava non sono ad ognimodo più in funzione ed eventuali computer “infetti” non sono in pericolo.
La condivisione delle definizioni dei malware è una pratica comune tra i produttori di sistemi operativi e aziende che sviluppano applicazioni antivirus. I database degli antivirus contengono quelle che vengono chiamate “firme” (una sequenza continua di byte che è comune per alcuni modelli di malware), un meccanismo che consente di identificare con una certa sicurezza determinate tipologie di malware. Apple integra di serie in macOS un suo meccanismo basilare di difesa antivirus (ne parliamo in dettaglio qui), ha già predisposto un meccanismo che consente di rilevare il nuovo malware ma i produttori lamentano il comportamento della Mela, definito da Wardle “scoraggiante”.