Intego ha individuato un nuovo Trojan per Os X, si tratta di OSX/Leverage.A ritrovato in un documento per OS X che ha le sembianze di un file contenente un’immagine, con nome tipico dei file del genere ed estensione non visibile per default, scoprendo che in realtà è un’applicazione rogue in grado di installare una backdoor nel Mac per controllare in remoto il sistema.
Il meccanismo cerca di ingannare l’utente facendogli credere di avere a che fare con un’immagine in qualche strano formato. OSX/Leverage.A è stato creato da membri del Syrian Electronic Army, l’esercito telematico al servizio di Bashal al Assad, già protagonista di vari attacchi a siti di informazione occidentali.
L’attacco è considerato di bassa pericolosità: il server che dovrebbe inviare i comandi è down e sotto controllo, non invia comandi agli utenti e il meccanismo sembra avere come target gruppi antagonisti al presidente Assad. L’installazione del trojan richiede inoltre l’inserimento del nome utente e della password dell’amministratore, rendendo palese che il file in questione non è una immagina ma un’applicazione (l’apertura di immagini non richiede nessuna password). Sui Mac con OS X 10.7.x e 10.8.x, la pericolosità del trojan è segnalata automaticamente dal Gatekeeper di sistema e Apple dovrebbe aggiornare a breve anche XProtect, l’elenco interno al sistema che blocca automaticamente (anche su OS X 10.6.x Snow Leopard) file pericolosi.
Non è chiaro in che modo il file sia distribuito: potrebbe arrivare via mail o essere ospitato su siti web. I consigli sono quelli di sempre: non scaricare nulla da siti che non siano più che affidabili. La maggiorparte dei (pochi) malware esistenti per OS X affinché possano effettivamente attaccare il sistema richiede lo scaricamento di un’applicazione, il consenso all’esecuzione della stessa, l’inserimento del nome utente e della password dell’utente amministratore. Se si compiono simili azioni pensando che nulla possa scalfire il nostro sistema, non esiste difesa che tenga.
