Ricercatori di ESET riferiscono di avere individuato un nuovo malware per Mac, un software malevolo teoricamente in grado di prelevare le password memorizzate nel portachiavi di OS X, ma in pratica niente di pericoloso se l’utente ha un minimo di buon senso e non ha modificato le impostazioni di sicurezza di default di OS X.
Come non ci stancheremo mai di ripetere questo e altri malware non sono così pericolosi perché per la loro esecuzione è necessario l’esplicito consenso dell’utente. Affinché siano eseguiti l’utente deve specificatamente disabilitare le funzioni di sicurezza integrate in OS X. Dalle Preferenze di Sistema selezionate “Sicurezza e Privacy” e in “Generali” assicuratevi che nella sezione “Consenti app scaricate da:” il pallino sia impostato su “Mac App Store e sviluppatori certificati”. Il Gatekeeper di OS X per default consente solo e soltanto l’esecuzione di applicazioni scaricate dal Mac App Store o provenienti da sviluppatori identificati da Apple.
Il malware (se così si può definire un software che l’utente deve eseguire consapevolmente) è stato ad ogni modo ribattezzato “OSX/Keydnap” (qui i dettagli). È distribuito come un archivio compresso in formato .ZIP, all’interno del quale è presente un file mascherato per presentarsi come se fosse un documento di testo o un’immagine JPG. In realtà alla fine del nome del file c’è un carattere nullo, elemento che per default consente di richiamare eseguibili Mach-O dal Terminale di OS X. Con un doppio click sul file si apre il Terminale (l’icona appare brevemente nel dock) e si chiude. Se il Gatekeeper di OS X è attivo (pallino sull’opzione che consente solo l’esecuzione di app scaricate dal Mac App Store e sviluppatori certificati), il meccanismo di sicurezza di OS X avvisa del pericolo, evidenziando che l’app eseguita arriva da uno sviluppatore non identificato e impedisce il lancio. Se il Gatekeeper è disabilitato (opzione “Dovunque” in “Consenti app scaricate da:”), il malware attiva una backdoor eseguita a ogni avvio del sistema e rimpiazza l’eseguibile per il Terminale con una vera immagine o un file di testo. Il malware cerca di ottenere i diritti dell’utente amministratore, attendendo l’avvio di altre applicazioni e richiedendo le credenziali (nome e password). Ottenute le credenziali, il malware può fare ovviamente di tutto, incluso caricare le password e inviare a un server di comando e controllo.
I ricercatori di ESET dicono di non sapere come si è diffuso il malware ma probabilmente arriva con ondate di spam via mail. Come sempre prestate attenzione a ciò che scaricate, da dove lo scaricate e alle applicazioni che cercando nome utente e password dell’utente amministratore. Come abbiamo spiegato decine di volte OS X è un sistema operativo robusto e affidabile, dotato di serie di svariati meccanismi di protezione che consentono di navigare sul web con estrema tranquillità. Un minimo di buon senso da parte degli utenti è ad ogni modo sempre necessario. La maggior parte di malware esistenti per Mac OS X affinché possano effettivamente attaccare il sistema, al contrario di vere applicazioni malevole, richiede lo scaricamento di un’applicazione, il consenso all’esecuzione della stessa e l’inserimento di nome e password dell’utente amministratore. Se si compiono simili azioni, cedendo alla tentazione di pensare che nulla può scalfire il nostro sistema, non esiste alcun tipo di antivirus o di difesa efficace. Una semplice regola di prudenza prevede di lavorare con privilegi di amministratore solo quando è strettamente indispensabile: installare aggiornamenti del sistema operativo, eseguire procedure di manutenzione, installare applicazioni note e di provenienza inequivocabile, ecc. È buona norma creare almeno due utenti: un utente amministratore e un utente senza privilegi e usare quest’ultimo per svolgere le normali attività, delegando all’utente amministratore solo alcuni compiti e usando questa utenza solo quando è strettamente necessario.