Molti utenti Apple credono che il sistema operativo macOS sia così sicuro che nessuna minaccia informatica possa danneggiarli, quindi non devono preoccuparsi di proteggere i propri dispositivi. Tuttavia, non è assolutamente così: sebbene ci siano effettivamente meno malware per macOS, sono comunque molto più comuni di quanto i possessori di dispositivi Apple vorrebbero pensare.
In questo post discutiamo delle minacce attuali per gli utenti macOS e di come proteggere efficacemente il Mac. Per illustrare l’esistenza di virus per macOS, esamineremo tre studi recenti su diverse famiglie di malware che sono stati pubblicati nelle ultime settimane.
BlueNoroff attacca gli utenti macOS e ruba le criptovalute
Alla fine di ottobre 2023, i nostri ricercatori hanno scoperto un nuovo Trojan macOS che si ritiene sia associato a BlueNoroff, “l’ala commerciale” del gruppo APT Lazarus che lavora per la Corea del Nord. Questo sottogruppo è specializzato in attacchi finanziari e si concentra in particolare su due cose: innanzitutto, gli attacchi al sistema SWIFT (inclusa la famigerata rapina alla Banca centrale del Bangladesh) e, in secondo luogo, il furto di criptovalute da organizzazioni e individui.
Il downloader di Trojan per macOS che è stato scoperto viene distribuito all’interno di archivi dannosi. È camuffato da documento PDF intitolato “Crypto-assets and their risks for financial stability”, con un’icona che imita un’anteprima di questo documento.
Quando l’utente fa clic sul Trojan (mascherato da file PDF), viene eseguito uno script che scarica effettivamente il documento PDF corrispondente da Internet e lo apre. Ma, naturalmente, non è tutto quello che accade. Il compito principale del Trojan è quello di scaricare un altro virus, che raccoglie informazioni sul sistema infetto, le invia al server di comando e controllo (C2), quindi attende un comando per eseguire una di due possibili azioni: eliminazione automatica o salvataggio in un file ed esecuzione del codice dannoso inviato in risposta dal server.
Trojan proxy nel software piratato per macOS
Alla fine di novembre 2023, i nostri ricercatori hanno scoperto un’altra istanza di malware che minaccia gli utenti Mac: un Trojan proxy, distribuito insieme a software piratato per macOS. In particolare, questo Trojan è stato aggiunto ai file PKG di programmi di editing video, strumenti di recupero dati, utilità di rete, convertitori di file e diversi altri software violati. L’elenco completo dei programmi di installazione infetti scoperti dai nostri esperti è disponibile alla fine del rapporto pubblicato su Securelist.
Come accennato in precedenza, questo malware appartiene alla categoria dei Trojan proxy, ovvero un malware che imposta un server proxy nel computer infetto, creando essenzialmente un host per reindirizzare il traffico Internet. Successivamente, i cybercriminali possono utilizzare tali dispositivi infetti per creare una rete a pagamento di server proxy, guadagnando dalle persone interessate a tali servizi.
In alternativa, i proprietari del Trojan potrebbero utilizzare direttamente i computer infetti per svolgere attività criminali a nome della vittima, che si tratti di attaccare siti Web, aziende o altri utenti o di acquistare armi, sostanze stupefacenti o altre merci illegali.
Stealer Atomic in falsi aggiornamenti del browser Safari
Sempre a novembre 2023 è stata scoperta una nuova campagna dannosa per diffondere un altro Trojan per macOS, noto come Atomic e appartenente alla categoria degli stealer. Questo tipo di malware cerca, estrae e invia ai suoi creatori informazioni di ogni tipo trovate nel computer della vittima, in particolare i dati salvati nei browser. Gli account di accesso e le password, i dettagli delle carte bancarie, le chiavi dei wallet di criptovalute e analoghe informazioni sensibili sono di particolare valore per gli stealer.
Il Trojan Atomic è stato scoperto e descritto per la prima volta a marzo 2023. La novità è che ora gli autori degli attacchi hanno iniziato a utilizzare falsi aggiornamenti per i browser Safari e Chrome per diffondere il Trojan Atomic. Questi aggiornamenti vengono scaricati da pagine dannose che imitano in modo molto convincente i siti Web originali di Apple e Google.
Una volta in esecuzione su un sistema, il Trojan Atomic tenta di rubare le seguenti informazioni dal computer della vittima:
- cookie
- account di accesso, password e dettagli delle carte bancarie memorizzati nel browser
- password dal sistema di archiviazione delle password macOS (Portachiavi)
- file archiviati sul disco rigido
- dati memorizzati da oltre 50 popolari estensioni per le criptovalute
Vulnerabilità zero-day in macOS
Purtroppo, anche se non scarichi file sospetti, eviti di aprire allegati da fonti sconosciute e in genere eviti di fare clic su qualcosa di sospetto, la tua sicurezza non è garantita. È importante ricordare che qualsiasi software presenta sempre vulnerabilità che gli autori degli attacchi possono sfruttare per infettare un dispositivo e che richiedono un intervento minimo o nullo da parte dell’utente. E il sistema operativo macOS non fa eccezione a questa regola.
Di recente sono state scoperte due vulnerabilità zero-day nel browser Safari e, secondo l’annuncio di Apple, i cybercriminali le stavano già sfruttando quando sono state identificate. Attirando semplicemente la vittima su una pagina Web dannosa, gli autori degli attacchi possono infettare il dispositivo senza ulteriori azioni da parte dell’utente, ottenendo così il controllo del dispositivo e la capacità di rubare i dati. Queste vulnerabilità sono rilevanti per tutti i dispositivi che utilizzano il browser Safari e rappresentano una minaccia sia per gli utenti iOS/iPadOS che per i proprietari di Mac.
Si tratta di uno scenario comune: poiché i sistemi operativi Apple condividono molti componenti, le vulnerabilità spesso si applicano non solo a uno dei sistemi operativi dell’azienda, ma a tutti. Si tratta quindi di un caso in cui i Mac sono stati traditi dalla popolarità dell’iPhone: gli utenti iOS sono gli obiettivi primari, ma queste vulnerabilità possono essere utilizzate altrettanto facilmente per attaccare macOS.
Nel 2023 sono state scoperte in totale 19 vulnerabilità zero-day nei sistemi operativi Apple che sono note per essere state sfruttate attivamente dagli autori degli attacchi. Tra queste, 17 hanno interessato gli utenti macOS, tra cui più di una decina con stato ad alto rischio e una classificata come critica.
Altre minacce e come proteggere il Mac
È importante ricordare che esistono numerose cyberminacce che non dipendono dal sistema operativo ma che possono essere altrettanto pericolose del malware. In particolare, occorre prestare attenzione alle seguenti minacce:
- Phishing e siti Web falsi. Le e-mail e i siti Web di phishing funzionano allo stesso modo sia per gli utenti Windows che per i proprietari di Mac. Purtroppo, non tutte le e-mail e i siti Web falsi sono facilmente riconoscibili, quindi anche gli utenti esperti corrono spesso il rischio di vedersi rubare le credenziali di accesso.
- Minacce Web, inclusi gli skimmer Web. Il malware può infettare non solo il dispositivo dell’utente, ma anche il server con cui comunica. Ad esempio, gli autori degli attacchi spesso attaccano siti Web scarsamente protetti, in particolare i negozi online, e vi installano skimmer Web. Questi piccoli moduli software sono progettati per intercettare e rubare i dati delle carte bancarie inseriti dai visitatori.
- Estensioni del browser dannose. Questi piccoli moduli software vengono installati direttamente nel browser e operano al suo interno, quindi non dipendono dal sistema operativo utilizzato. Sebbene siano apparentemente innocue, le estensioni possono eseguire molte operazioni: leggere il contenuto di tutte le pagine visitate, intercettare le informazioni immesse dall’utente (password, numeri di carte, chiavi dei wallet di criptovalute) e persino sostituire il contenuto della pagina visualizzata.
- Intercettazione del traffico e attacchi man-in-the-middle (MITM). La maggior parte dei siti Web moderni utilizza connessioni criptate (HTTPS), ma a volte è ancora possibile imbattersi in siti HTTP in cui è possibile intercettare lo scambio di dati. I cybercriminali utilizzano questo tipo di intercettazione per lanciare attacchi MITM, presentando agli utenti pagine false o infette anziché legittime.
Per proteggere il dispositivo, gli account dei servizi online e, soprattutto, le preziose informazioni che contengono, è fondamentale utilizzare una protezione completa sia per i computer Mac che per gli iPhone/iPad. Tale protezione deve essere in grado di contrastare l’intera gamma di minacce, ad esempio soluzioni come Kaspersky Premium, la cui efficacia è stata confermata da numerosi riconoscimenti da parte di laboratori di test indipendenti.