Il sempre più ricco bestiario di malware per Mac OS X si arricchisce di un nuovo esemplare, un codice malevolo appartenente a una botnet che Doctor Web ha identificato e classificato come Mac.BackDoor.iWorm . Insolito (e già fuori uso) il sistema di connessione con i server di comando&controllo, anche se il pericolo non è ancora passato.
Stando alle ricerche della security enterprise russa, la botnet di iWorm può contare su più di 17.000 Mac infetti sparsi per tutto il pianeta, un quarto dei quali localizzati negli Stati Uniti. Il dropper è progettato per depositare una copia del malware nella cartella Library dell’account utente attualmente connesso, e per caricare il bot a ogni avvio del sistema tramite apposito file .plist .
Una delle caratteristiche distintive di iWorm è il modo in cui il bot cerca gli IP dei server controllati dai cyber-criminali, sfruttando cioè la funzionalità di ricerca di Reddit e abusando del subreddit “minecraftserverlist” per elencare i server.
I messaggi su Reddit contenenti i server di C&C sono stati rimossi, così come risultano inaccessibili gli indirizzi IP identificati dai ricercatori Dr.Web. Apple, da parte sua, ha aggiornato il componente anti-malware di OS X (“File Quarantine”, precedentemente noto come XProtect) per identificare due diverse varianti di iWorm.
Pericolo scampato, quindi? Forse, anzi no: tra le capacità di iWorm c’è quella di scaricare ed eseguire nuove versioni di se stesso o altri tipi di malware, ed è quindi prevedibile che la botnet si sia già evoluta in qualcosa di diverso dall’operazione identificata da Dr.Web.
Alfonso Maruccia