Si torna a parlare di HackingTeam, società milanese che ha lavorato per forze governative e imprenditori misteriosi che richiedono software per entrare in sistemi, dispositivi e piattaforme informatiche. Stando a quanto dichiarato da alcuni esperti di sicurezza informatica, questa volta il nome della società sembra sia associato a un malware per Mac. Secondo alcune fonti, l’azienda di cui si è parlato l’estate dello scorso anno in seguito a un attacco subito con conseguente pubblicazione di numerose mail e documenti riservati, sarebbe collegata al nuovo malware, anche se non è per nulla certo che sia frutto di un suo lavoro specifico e mirato.
È il sito Ars Technica a riferire che alcuni ricercatori esperti in sicurezza hanno individuato il software maligno in un campione inviato il 4 febbraio al servizio di scansione di VirusTotal. Una volta installato, sfruttando le falle di alcune specifiche applicazioni, attiverebbe un meccanismo di controllo remoto sui Mac colpiti, nascondendosi all’interno di file apparentemente innocui.
Secondo il ricercatore di SentinelOne Pedro Vilaça, il malware porterebbe al suo interno tracce della piattaforma Remote Code Systems, la base del sistema di Hacking Team. Come accennato, questo non significa che è stato l’Hacking Team a mettere in circolazione il malware e neppure a crearlo. Lo stesso Vilaça sostiene che potrebbe essere il lavoro di pirati che sono entrati in possesso del codice rubato nei mesi scorsi e dopo averlo modificato, l’hanno distribuito; oppure potrebbe anche essere sfuggito a qualcuno dei suoi clienti e finito nelle mani di malintenzionati. Il codice sarebbe stato aggiornato in ottobre e novembre (dopo l’attacco subito dal gruppo milanese) e ora aggira in maniera più sofisticata e intelligente le protezioni del Mac.
Non è chiaro in che modo il malware può essere installato, ma è probabile che, come al solito, chi invia questi applicativi-spia li alleghi a documenti via mail o li proponga su siti web, sfruttando tecniche di ingegneria sociale che invitano l’utente a scaricare un programma, indicare nome utente e password dell’amministratore e dunque scavalcare i vari meccanismi di protezione del sistema.
A luglio dello scorso anno, Adobe ha chiuso una falla in Flash Player che HackingTeam aveva individuato e che veniva utilizzato per carpire informazioni da Mac, Windows e Linux. False app erano state create ad hoc anche per i dispositivi Android e per gli iPhone jailbroken. Se avete installato software da fonti sicure e dal Mac App Store potete, in ogni caso, stare tranquilli. In caso contrario, il malware è facilmente identificabile: un file denominato “Bs-V7qIU.cYL” viene creato all’interno della cartella ~/Library/Preferences/8pHbqThW/
