MacRansom e MacSpy, due nuovi malware per Mac in circolazione da un paio di settimane sono stati analizzati dai ricercatori di sicurezza di Fortinet e AlienVault . Il giudizio sulle qualità “tecniche” del codice malevolo è fin qui negativo anche se il rischio permane, soprattutto per il ransomware.
Stando ai risultati delle analisi degli esperti, infatti, MacRansom e MacSpy sono stati creati dalla stessa persona . L’autore è evidentemente un cyber-criminale capace di configurare un servizio MaaS (Malware-as-a-Service) attraverso cui distribuire le proprie creazioni sulla darknet di Tor, ma in quanto a complessità del codice i due malware lasciano un po’ il tempo che trovano .
Una prima caratteristica interessante di tutta l’operazione è la natura “chiusa” della distribuzione dei due malware, con l’autore che va contattato via posta e che gestisce in maniera manuale l’invio dei pacchetti “demo” per poi contrattare sui costi.
https://d3gpjj9d20n0p3.cloudfront.net/ngblog/uploads/images/Financial/Macransom/Mac3.png
MacRansom è (prevedibilmente) un trojan di tipo ransomware, e per funzionare necessita dell’approvazione di ogni singolo “client” da parte del suo creatore; il malware usa un algoritmo crittografico di tipo simmetrico, e rende più facile il lavoro ai ricercatori integrando le chiavi necessarie per la decodifica direttamente all’interno del codice sorgente.
Per quanto riguarda lo spyware MacSpy, poi, gli esperti hanno identificato interi pezzi di codice copiati direttamente dal sito Stack Overflow ; al pari di MacRansom, infine, anche MacSpy è sprovvisto di una firma digitale e tende a generare un allarme di sicurezza se lanciato su un’installazione standard di OS X.
Anche se MacRansom e MacSpy non risultano particolarmente complessi, avvertono i ricercatori, sono comunque in grado di generare danni e danneggiare i dati degli utenti ; i ransomware-come-servizio (RaaS) non sono ancora molto diffusi su Mac, ma le cose potrebbero cambiare con l’incremento di popolarità della piattaforma.
Alfonso Maruccia