I ricercatori identificano una minaccia “ibrida”, compilata come eseguibile per Windows ma pensata per girare solo su sistemi macOS. L’obiettivo è raccogliere informazioni e installare adware, ma in futuro potrebbe andare molto peggio.
I cyber-criminali hanno ideato l’ennesimo metodo per bypassare Gatekeeper e le altre misure di “sicurezza” implementate da Apple su macOS, un sistema operativo sempre più interessante per gli autori di malware e che permette di seguire approcci a dir poco “fantasiosi” ma dal risultato garantito.
Identificata da Trend Micro, la nuova minaccia per i sistemi della Mela è incentrata sull’uso di un file eseguibile compilato come codice binario in standard Windows: grazie all’uso dei componenti multi-piattaforma del framework .NET (Mono), gli autori hanno creato un malware ibrido che, vista la sua primaria natura “a finestre” (.NET), non viene controllato dai sistemi di sicurezza di macOS e può quindi agire indisturbato sul sistema.
Il malware viene distribuito assieme a torrent fittizi di (presunte) versioni pirata di programmi per macOS (Little_Snitch_583_MAC_OS_X.zip, Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip, Wondershare_Filmora_924_Patched_Mac_OSX_X.zip e altri), e una volta in esecuzione comincia a raccogliere informazioni sul sistema in merito al modello del PC, tipo e velocità del processore, numero di core disponibili, memoria e molto altro ancora.
Le informazioni sono quindi inviate al server di comando&controllo (C&C) gestito dagli ignoti criminali, mentre il secondo payload malevolo è rappresentato dall’installazione di un adware prodotto da InstallCapital – società specializzata in software indesiderati per Windows che “paga” per ogni installazione andata a buon fine.
Al momento la nuova minaccia per macOS si limita alla raccolta di informazioni e all’adware, avverto i ricercatori, ma la nuova tecnica evasiva basata sull’uso di eseguibili per Windows potrebbe rappresentare uno strumento estremamente utile per realizzare codice malevolo molto più pericoloso e distruttivo (ad esempio come base di una nuova botnet).