iWorm: nuovo malware per OS X, aggiornato Xprotect

Un nuovo malware minaccia oltre 17.000 Mac sparsi per il globo: si chiama iWorm e può raccogliere informazioni personali e altri dati sensibili dell’utente, per inviarli a un server remoto. La scoperta è stata possibile grazie a Reddit, un portale utilizzato dai malintenzionati come punto di connessione intermedio, nel frattempo Apple ha già provveduto ad aggiornare le definizioni delle minacce per lo strumento automatico Xprotect. Stando alle prime ricostruzioni, il codice malevolo si installerebbe su OS X dopo aver concesso i diritti di amministrazione ad alcune applicazioni pensate per attivare software pirata.

A lanciare l’allarme è stata la società di sicurezza russa Dr. Web, già nota in passato per la scoperta di altre minacce per OS X, che ipotizza come oltre 17.000 tra desktop e laptop siano infetti. Il malware, denominato “Mac.BackDoor.iWorm”, viene definito come una sorta di backdoor estesa che potrebbe permettere la raccolta da remoto di dati sensibili da parte di malintenzionati. Stando alle prime analisi, una volta installato il software lavorerebbe in background accedendo a una lunga serie di server di controllo, in attesa di istruzioni aggiuntive. Per ottenere tali comandi, il malware si appoggerebbe a una pagina di Reddit, dove in alcuni commenti sarebbe presente una lista di server pericolosi mimetizzata dal falso nome “minecraftserverlists”.

Sebbene tale pagina Reddit sia stata prontamente rimossa, non è detto che la backdoor non rimanga comunque operativa. I primi avvistamenti risalgono all’inizio di settembre, ma pare che solo negli ultimi giorni si sia diffusa velocemente. La testata The Safe Mac ha voluto cercare l’origine dell’infezione, identificandola in alcuni installer pirata per Photoshop CC 2014, presenti sulle piattaforme di P2P. Tali programmi servirebbero per eludere i controlli di licenza Adobe, ma contemporaneamente installerebbero la backdoor. Per farlo, però, hanno bisogno di accedere al sistema operativo con permessi di amministrazione: è l’utente stesso che vi acconsente inserendo la propria password di sistema, per garantire il termine delle operazioni di sblocco del software illecitamente scaricato.

Per verificare se la propria versione di OS X fosse infetta, è sufficiente controllare l’esistenza della relativa cartella. Aprendo il Finder, basta scegliere “Vai a cartella” del menu “Vai” e inserire questa percorso:

/Library/Application Support/JavaW

Qualora OS X non trovasse la relativa directory, il Mac non è infetto. In caso contrario, sarà necessario ricorrere a uno dei pochi antivirus per OS X in circolazione o attendere la distribuzione di uno strumento di rimozione ufficiale. Nel frattempo, Apple ha aggiornato le definizioni di Xprotect per comprendere la nuova minaccia: così facendo, le macchine oggi esenti dalla backdoor saranno protette anche in futuro, mentre per quelle già infette si renderà non operativo il malware nonostante non venga definitivamente cancellato dal disco. Xprotect è un rudimentale scanner per il malware introdotto da qualche anno in OS X: funziona automaticamente senza l’intervento dell’utente e si collega ai server di Cupertino per scaricare in autonomia nuove definizioni, sebbene gli aggiornamenti siano infrequenti dato il ridotto numero di minacce pensate per OS X.