Come abbiamo riportato ieri, ricercatori di BitDefender hanno individuato un malware per Mac denominato “Backdoor.MAC.Eleanor”. Questo pericoloso elemento è stato integrato all’interno di un software per Mac denominato EasyDoc Converter, applicazione presentata come un innocente convertitore di file da formati FreeOffice (.fof) e SimpleStats (sst) in file in formato Microsoft Office (.docx).
Premettiamo che l’applicazione non si trova sul Mac App Store e non proviene da sviluppatori certificati da Apple: quindi per la sua esecuzione è necessario che l’utente disattivi esplicitamente specifiche protezioni del sistema operativo. È stata però resa disponibile per alcuni giorni sul sito MacUpdate ed era ospitata su un server web su AlterVista. Ora è stata rimossa da entrambi i siti (MacUpdate indica che è stata scaricata 117 volte).
L’applicazione, dopo avere ricevuto il consenso dell’utente all’esecuzione, installa uno script malevolo eseguito all’avvio del sistema consentendo ad attaccker (mediante un server web installato in locale) di accedere in modo anonimo al Mac. L’attacker ha la possibilità di accedere e modificare file, eseguire comandi da shell, catturare schermate e filmati dalla Videocamera e altro ancora.
Come proteggersi
Proteggersi è molto semplice: basta non scaricare l’applicazione in questione e non consentire l’esecuzione di applicazioni che arrivano da fonti diverse dal Mac App Store o provenienti da sviluppatori non certificati. Portatevi nella sezione “Sicurezza e privacy” delle Preferenze di Sistema e in “Generali” assicuratevi che nella sezione “Consenti app scaricate da:” sia selezionata la voce “Mac App Store e sviluppatori identificati”. Il “Gatekeeper” integrato in OS X da OS X 10.7 in poi rafforza i controlli malware esistenti in OS X, allo scopo di proteggere il Mac dai malware e dalle app potenzialmente dannose scaricate da internet.
La soluzione migliore e più affidabile per scaricare app per il Mac è il Mac App Store. Apple infatti esamina tutte le app prima di renderle disponibili sullo store, rimuovendole rapidamente in caso di problemi. Per le app non scaricate dal Mac App Store, gli sviluppatori possono richiedere ad Apple un “Developer ID” unico e usarlo per applicare una firma digitale alle proprie app. Il Developer ID consente a Gatekeeper di bloccare le app create da sviluppatori di malware e di verificare che il software delle app con firma digitale non sia stato successivamente manomesso. Se un’app è stata progettata da uno sviluppatore sconosciuto (ossia sprovvisto di Developer ID) oppure essa è stata manomessa, Gatekeeper impedisce l’installazione.
Come verificare se il proprio sistema è “infetto”
Il metodo più semplice per verificare se il proprio sistema è “infetto” è sfruttare Malwarebytes Anti-Malware, un ottimo software gratuito che consente di verificare la presenza di applicazioni malevole, software spia, estensioni pubblicitarie per i browser. Scaricate l’applicazione da questo indirizzo, avviatela, fate click su “Scan”, rimuovete l’eventuale malware trovato e riavviate il computer.