Il malware OSX.Pirrit mostra solo messaggi pubblicitari… almeno per il momento

I ricercatori hanno scoperto una variante del noto malware Windows denominato Pirrit,variante destinata al sistema operativo Mac OS X; essa crea, sulla macchina infetta, un proxy server, per poi iniettare fastidiose pubblicità all’interno delle pagine web. Cybereason Labs, società di Boston specializzata in sicurezza IT, ha assegnato a questa iterazione dell’adware il nome di OSX.Pirrit; attualmente, le funzionalità della variante Mac si limitano al mostrare banner pubblicitari, sebbene le analisi condotte abbiano evidenziato che tale malware è in grado di fare molto di più.

“Oggi, OSX.Pirrit non rappresenta una seria minaccia, – ha dichiarato a Threatpost l’autore della scoperta, ovvero Amit Serper, Principal Security Researcher, presso Cybereason Labs, riguardo alla protezione dei sistemi Mac OS X e Linux. – Tuttavia, coloro che si celano dietro al malware OSX.Pirrit possono ottenere, in linea di principio, l’accesso completo al sistema preso di mira”.

“Anziché limitarsi a mostrare spam pubblicitario, i malintenzionati possono, con la stessa identica facilità, carpire i dati personali dell’utente, oppure catturare il know-how della vostra azienda, – scrive Serper sul sito web della società statunitense. – Oppure possono installare un insidioso keylogger, per realizzare il furto di login e password utilizzati per accedere agli account bancari”.

I sample di OSX.Pirrit sottoposti ad analisi si trovavano nascosti in un falso aggiornamento di Adobe Flash, oppure erano stati introdotti all’interno di copie pirata di Microsoft Office 2016 e Adobe Photoshop CC. Cybereason ha reso disponibile uno shell script per la rimozione del malware, in modo che, in caso di infezione, possano usufruire di tale prezioso strumento tecnici ed esperti di sicurezza IT.

“L’unico metodo per individuare il “lavoro” svolto dal malware (a parte l’evidente comparsa di pubblicità indesiderate) consiste nel controllare accuratamente l’elenco dei processi in esecuzione, – spiega Serper. – Al momento attuale, la quantità di infezioni riscontrate è di sicuro limitata; stiamo tuttavia osservando un significativo aumento del numero delle varianti di Pirrit destinate a Mac OS X”.

Di solito, l’infezione genera la visualizzazione “forzata” di annunci pubblicitari pop-up, pubblicità in background (pop-under), banner introdotti nei siti web, oppure di pagine che presentano specifici collegamenti ipertestuali, intenzionalmente inseriti. Una delle reti pubblicitarie collegate a tale operazione malevola è risultata essere l’ad network polacco Red Sky. La richiesta di un commento in proposito, inviata tramite e-mail da Threatpost, non ha ricevuto alcuna risposta da parte dei proprietari del network pubblicitario.

“Questo adware attacca l’OS Windows già da qualche tempo; sui computer Mac si è invece manifestato per la prima volta, – ha fatto notare Serper. – I software antivirus hanno iniziato a riconoscere la minaccia alcuni giorni fa”.

Secondo Microsoft, il malware pubblicitario Win32/Pirrit è stato individuato per la prima volta nel mese di settembre 2014; esso viene distribuito, prevalentemente, assieme a software gratuito. La versione di Pirrit per OS X, secondo quanto asserisce Cybereason è, potenzialmente, molto più nociva del predecessore, “dedicato” al sistema operativo Windows, visto che “OSX.Pirrit è in grado di assumere il totale controllo della macchina, mentre la versione Windows mostra esclusivamente annunci pubblicitari”.

“OSX.Pirrit non fa uso di exploit, per compromettere i computer Mac, – scrive inoltre Serper. – Esso penetra nelle macchine per mezzo di semplici “trucchi” di ingegneria sociale, attraverso i quali si cerca di indurre, se non costringere, l’utente ad inserire le proprie credenziali di login per l’installazione di un falso aggiornamento, relativo, ad esempio, al programma Flash”.

La versione di OSX.Pirrit scoperta da Cybereason è risultata essere firmata tramite un certificato Apple valido, affinché l’installazione della stessa non potesse destare alcun sospetto a livello del sistema di protezione incorporato di cui è provvisto OS X. Secondo gli esperti, il malware in questione è stato creato mediante l’utilizzo del framework Qt, vale a dire che “l’adware, probabilmente, è stato scritto da una persona che conosce molto bene Linux, in possesso, tuttavia, di scarse conoscenze riguardo allo sviluppo in ambiente OS X”.

“Sebbene l’effettiva carenza di programmi malware per Mac OS X fornisca, di fatto, materiale limitato per la ricerca, questo non significa che i computer Apple siano in qualche modo immuni dalle minacce IT”, avverte in conclusione Amit Serper.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *