Alfonso Maruccia

MacRansom e MacSpy, malware per Mac di uno script kiddie

I ricercatori mettono le mani sui sample di due nuove minacce per i sistemi della Mela, con l'analisi del codice a rivelare una singola "mano" dietro la loro creazione. Una mano per di pių con poca esperienza del mercato del cyber-crimine

Roma - MacRansom e MacSpy, due nuovi malware per Mac in circolazione da un paio di settimane sono stati analizzati dai ricercatori di sicurezza di Fortinet e AlienVault. Il giudizio sulle qualità "tecniche" del codice malevolo è fin qui negativo anche se il rischio permane, soprattutto per il ransomware.

Stando ai risultati delle analisi degli esperti, infatti, MacRansom e MacSpy sono stati creati dalla stessa persona. L'autore è evidentemente un cyber-criminale capace di configurare un servizio MaaS (Malware-as-a-Service) attraverso cui distribuire le proprie creazioni sulla darknet di Tor, ma in quanto a complessità del codice i due malware lasciano un po' il tempo che trovano.

Una prima caratteristica interessante di tutta l'operazione è la natura "chiusa" della distribuzione dei due malware, con l'autore che va contattato via posta e che gestisce in maniera manuale l'invio dei pacchetti "demo" per poi contrattare sui costi.
https://d3gpjj9d20n0p3.cloudfront.net/ngblog/uploads/images/Financial/Macransom/Mac3.png

MacRansom è (prevedibilmente) un trojan di tipo ransomware, e per funzionare necessita dell'approvazione di ogni singolo "client" da parte del suo creatore; il malware usa un algoritmo crittografico di tipo simmetrico, e rende più facile il lavoro ai ricercatori integrando le chiavi necessarie per la decodifica direttamente all'interno del codice sorgente.

Per quanto riguarda lo spyware MacSpy, poi, gli esperti hanno identificato interi pezzi di codice copiati direttamente dal sito Stack Overflow; al pari di MacRansom, infine, anche MacSpy è sprovvisto di una firma digitale e tende a generare un allarme di sicurezza se lanciato su un'installazione standard di OS X.

Anche se MacRansom e MacSpy non risultano particolarmente complessi, avvertono i ricercatori, sono comunque in grado di generare danni e danneggiare i dati degli utenti; i ransomware-come-servizio (RaaS) non sono ancora molto diffusi su Mac, ma le cose potrebbero cambiare con l'incremento di popolarità della piattaforma.

Alfonso Maruccia
Notizie collegate
  • SicurezzaUna backdoor datata per Mac e LinuxGli analisti hanno individuato un esemplare di codice malevolo dalle caratteristiche peculiari, apparentemente pensato per girare su sistemi Mac ma "adattabile" perfettamente anche agli OS basati su Linux
  • SicurezzaHandBrake come vettore di trojan su MacLa versione per OSX del famoso software FOSS di conversione video č stata infettata da una variante del RAT Proton. Un malintenzionato potrebbe avere accesso completo alla macchina
185 Commenti alla Notizia MacRansom e MacSpy, malware per Mac di uno script kiddie
Ordina
  • "Anche se MacRansom e MacSpy non risultano particolarmente complessi, avvertono i ricercatori, sono comunque in grado di generare danni e danneggiare i dati degli utenti; i ransomware-come-servizio (RaaS) non sono ancora molto diffusi su Mac, ma le cose potrebbero cambiare con l'incremento di popolarità della piattaforma.
    "

    Se prendiamo l'esigua diffusione degli iMac e affini, questo pericolo non credo sia cosi imminente.
    Velo pietoso sui soliti commenti pro o contro apple che lasciano il tempo che trovano, considerando che questo "SUPER MEGA APPLE KILLER" e come molti altri malware simili, che non sfruttano un bug di sistema per auto installarsi, ma giocano sulla stupidità dell'utente che come ben sapete non è legata a Windows, Mac e Linux in particolare.
  • Ma soprattutto non ci sarà MAI l' incremento della piattaforma mac.
    non+autenticato
  • - Scritto da: ...
    > Ma soprattutto non ci sarà MAI l' incremento
    > della piattaforma
    > mac.

    Questo perché la stessa apple non ha mai avuto un reale interesse nel aumentare il suo installato, non voglio certo pestare i piedi a microsoft.
  • - Scritto da: ...
    > Ma soprattutto non ci sarà MAI l' incremento
    > della piattaforma
    > mac.

    Questo perché la stessa apple non ha mai avuto un reale interesse nel aumentare il suo installato, non voglio certo pestare i piedi a microsoft.
  • Visto il livello di stupidità dei vari macachi su questo blog, non sarei così sicuro della tua affermazione.
    non+autenticato
  • - Scritto da: iFart
    > Visto il livello di stupidità dei vari macachi su
    > questo blog, non sarei così sicuro della tua
    > affermazione.

    In che senso "su questo blog"?
    A parte che questo non e' un blog, il livello di macacosita' dei macachi e' costantemente allo zero assoluto, qui e altrove.
  • - Scritto da: panda rossa
    > .. il livello di
    > macacosita' dei macachi e' costantemente allo
    > zero assoluto, qui e
    > altrove.

    Disse colui il quale non si accorge che il download della fix di XP non parte causa popup blocker nel browser...Occhiolino
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: panda rossa
    > > .. il livello di
    > > macacosita' dei macachi e' costantemente allo
    > > zero assoluto, qui e
    > > altrove.
    >
    > Disse colui il quale non si accorge che il
    > download della fix di XP non parte causa popup
    > blocker nel browser...
    >Occhiolino

    Quindi tu ammetti di essere cosi' coglione da accedere ad un sito canaglia come quello di M$ senza tutte le difese possibili?

    Gli script sono in assoluto la prima cosa da disabilitare dopo l'antispam, e se un sito e' fatto cosi' col culo da non testare se gli script sono attivi (sai che esiste <noscript> in html?), la colpa non e' certo dell'utente, ma di chi ha fatto il sito.
  • Windows XP: Oct 2001 - Jul 2014 R.I.P.
    Windows 2003: Apr 2003 - Jul 2015 R.I.P.

    Siamo nel 2017, mi chiedo se ha senso dare della canaglia a qualcun altro quando ci si ostina a lavorare con OS defunti...
    non+autenticato
  • Se ti basi su com'è l'utente apple dai 4 dementi che scrivono qui, stai fresco.
  • Ma non dicevate che Mac non era sicuro? Sorpresa

    Quindi erano tutte ca**te! Imbarazzato
    non+autenticato
  • - Scritto da: ma lascia stare ma chi te lo fa fare
    > Ma non dicevate che Mac non era sicuro? Sorpresa

    Si , infatti c'é un bel messaggio di sicurezza che ti avverte che stai facendo una cagata.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ma lascia stare ma chi te lo fa fare
    > > Ma non dicevate che Mac non era sicuro? Sorpresa
    >
    > Si , infatti c'é un bel messaggio di sicurezza
    > che ti avverte che stai facendo una
    > cagata.
    "cagata" va tra virgolette. la sicurezza papple e' essenzialmente: se non e' sw certificato e bollinato da noi, spaventa l'utente.
    non+autenticato
  • - Scritto da: bubba

    > e' essenzialmente: se non e' sw certificato e
    > bollinato da noi, spaventa
    > l'utente.
    a volte.... mica sempre...
    A bocca apertaRotola dal ridereA bocca aperta
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: ...
    > > - Scritto da: ma lascia stare ma chi te lo fa
    > fare
    > > > Ma non dicevate che Mac non era sicuro? Sorpresa
    > >
    > > Si , infatti c'é un bel messaggio di sicurezza
    > > che ti avverte che stai facendo una
    > > cagata.
    > "cagata" va tra virgolette. la sicurezza papple
    > e' essenzialmente: se non e' sw certificato e
    > bollinato da noi, spaventa
    > l'utente.

    Ed il problema quale sarebbe ?
    non+autenticato
  • - Scritto da: ...

    > Ed il problema quale sarebbe ?

    Quello che vivete in una bolla di sapone per quanto riguarda la sicurezza.
    non+autenticato
  • - Scritto da: Ftype
    > - Scritto da: ...
    >
    > > Ed il problema quale sarebbe ?
    >
    > Quello che vivete in una bolla di sapone per
    > quanto riguarda la
    > sicurezza.

    Ho scritto :

    "Si , infatti c'é un bel messaggio di sicurezza che ti avverte che stai facendo una cagata."

    se poi l'utente , alla luce del messaggio , SI PRENDE LA LIBERTÁ da andare avanti , lo fa a suo rischio. Sembra quasi che preferisci un sistema che non ti lascia la libertá di fare ció che vuoi , anche danni.
    non+autenticato
  • - Scritto da: ...

    > Ho scritto :
    >
    > "Si , infatti c'é un bel messaggio di sicurezza
    > che ti avverte che stai facendo una cagata."

    Ti avevrte cosa, che non è un sosftware firmato da apple e per questo pericoloso ?

    > se poi l'utente , alla luce del messaggio , SI
    > PRENDE LA LIBERTÁ da andare avanti , lo fa a
    > suo rischio. Sembra quasi che preferisci un
    > sistema che non ti lascia la libertá di fare
    > ció che vuoi , anche
    > danni.

    L'utente deve sapere già da prima cosa sta facendo,deve avere consapevolezza e responsabilità delle sue azioni.

    Preferisco l'utente informato ad un automa che preme a caso sulla tastiera e viene lasciato nel suo brodo perchè è convinto che qualcuno dall'alto lo protegga.
    non+autenticato
  • - Scritto da: Ftype
    > - Scritto da: ...
    >
    > > Ho scritto :
    > >
    > > "Si , infatti c'é un bel messaggio di
    > sicurezza
    > > che ti avverte che stai facendo una cagata."
    >
    > Ti avevrte cosa, che non è un sosftware firmato
    > da apple e per questo pericoloso
    > ?
    >

    Esattamente.

    > > se poi l'utente , alla luce del messaggio ,
    > SI
    > > PRENDE LA LIBERTÁ da andare avanti , lo
    > fa
    > a
    > > suo rischio. Sembra quasi che preferisci un
    > > sistema che non ti lascia la libertá di
    > fare
    > > ció che vuoi , anche
    > > danni.
    >
    > L'utente deve sapere già da prima cosa sta
    > facendo,deve avere consapevolezza e
    > responsabilità delle sue
    > azioni.
    >

    L'utente sbaglia e l'utonto fa cagate dove gli basta cliccare un link ad una mail per fottersi i dati.

    > Preferisco l'utente informato ad un automa che
    > preme a caso sulla tastiera

    Anch'io lo preferisco ma ormai l'uso del pc é alla portata di tutti e ci si deve confrontare anche con chi ne capisce pochissimo.

    > e viene lasciato nel
    > suo brodo perchè è convinto che qualcuno
    > dall'alto lo
    > protegga.

    Non ha altro che una finestra che gli consiglia di non farlo , la convinzione non c'entra nulla.
    non+autenticato
  • - Scritto da: ...

    > Esattamente.

    E da quando un software che non è firmato dall'azienda che produce il sistema è automaticamente pericoloso ?

    > L'utente sbaglia e l'utonto fa cagate dove gli
    > basta cliccare un link ad una mail per fottersi i
    > dati.

    Ma è proprio questo il punto, se sbagli una volta e perdi dati importanti ci sia augura che la seconda volta stia mooooolto più attento, altrimenti una bella selezione naturale.

    > Anch'io lo preferisco ma ormai l'uso del pc é
    > alla portata di tutti e ci si deve confrontare
    > anche con chi ne capisce
    > pochissimo.

    Questo è quello che si è voluto far credere per incrementare i guadagni.

    > Non ha altro che una finestra che gli consiglia
    > di non farlo , la convinzione non c'entra
    > nulla.

    Invece si, ti sta convincendo che è un pericolo qualsiasi cosa non firmata dall'azienda, non solo, alla lunga questo metodo non funziona neanche più anche perché il non firmato = malware è una stronzata.
    non+autenticato
  • - Scritto da: Ftype
    > - Scritto da: ...
    >
    > > Esattamente.
    >
    > E da quando un software che non è firmato
    > dall'azienda che produce il sistema è
    > automaticamente pericoloso
    > ?
    >

    Non é "automaticamente" pericoloso , lo é potenzialmente , e l'OS ti avcerte.

    > > Anch'io lo preferisco ma ormai l'uso del pc é
    > > alla portata di tutti e ci si deve
    > confrontare
    > > anche con chi ne capisce
    > > pochissimo.
    >
    > Questo è quello che si è voluto far credere per
    > incrementare i
    > guadagni.
    >

    Questo é il mondo reale, oggi. O ti ci abitui .... o ti ci abitui.
    non+autenticato
  • Questi malware richiedono tool dedicati per disinstallare il macaco davanti alla tastiera.
    non+autenticato
  • Mi ricordano il virus albanese. Sono poco più che dei POC.
    non+autenticato
  • - Scritto da: Chicken
    > Mi ricordano il virus albanese. Sono poco più che
    > dei
    > POC.

    come il 90% dei malware android di cui si parla sui vari siti hi-tech
    non+autenticato
  • Fai pure 100%, anche se quelli su Android fanno più "scalpore"perché distribuiti da più app.

    E visti i numeri fanno più "danni"...
    non+autenticato
  • Ahahaha malware scritti da un ragazzino, figuriamoci da uno espertoA bocca aperta

    Gli utenti Mac in una botte di ferro, eh ma solo gli altri hanno problemi di questo tipo Rotola dal ridere
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)