IlSoftware.it - Il sito italiano sul software

Come un eseguibile Windows può essere usato per attaccare un sistema macOS


La piattaforma Mono, progettata per fungere da ponte tra Windows e gli altri sistemi operativi, è stata utilizzata per diffondere un componente malevolo sui sistemi macOS. Ecco come funziona l'attacco.


Mono è un progetto opensource nato per creare un insieme di strumenti software compatibili con il framework .NET di Microsoft, utile per superare i confini di Windows.
La piattaforma può essere utilizzata su diversi sistemi operativi tra cui anche Linux e macOS.

I ricercatori di Trend Micro hanno scoperto che un gruppo di criminali informatici sta abusando di Mono per indurre gli utenti possessori di un sistema macOS a eseguire codice malevolo.

Chi cerca software piratato per macOS sui principali network peer-to-peer (rete Torrent in primis), potrebbe facilmente imbattersi in un file nocivo basato proprio sull'utilizzo di Mono.
A una prima occhiata i file vengono presentati come versioni "sbloccate" di alcuni tra i più famosi e utilizzati software per sistemi Mac: avviando l'eseguibile, tuttavia, vengono innescate una serie di operazioni che provocano l'infezione della macchina.


Gli esperti di Trend Micro spiegano che il "giochetto" utilizzato dai malware writer permette di superare le difese di Gatekeeper, il software Apple progettato per garantire che sui sistemi della Mela vengano caricati soltanto programmi affidabili.

L'esecuzione di file .exe su piattaforma macOS è un'eventualità piuttosto rara: sfruttando Mono gli aggressori hanno potuto "dribblare" agevolmente i controlli esercitati da Gatekeeper perché quest'ultimo non riconosce l'elemento malevolo come file binario e non si accerta della presenza di firme digitali.

Ad attacco avvenuto, il malware in questione provvede a raccogliere informazioni sul sistema Mac in uso, compresi dati personali ed elenco delle app installate.
Il passo successivo consiste nel recupero di alcuni file binari da server remoti: essi vengono automaticamente scaricati ed eseguiti. Tra di essi c'è anche InstallCapital, una minaccia già nota in ambiente Windows che mostra messaggi pubblicitari, attiva miner di crittomonete e diffonde ransomware.

Al momento il problema sembra limitato alla sottrazione di informazioni personali ma come spiegano i tecnici di Trend Micro minacce come quella appena venuta a galla potrebbero presto evolvere e diventare un'efficace leva per l'installazione di malware sui sistemi della Mela.

Maggiori informazioni nell'analisi di Trend Micro disponibile a questo indirizzo.


di Michele Nasi
IlSoftware.it - Il sito italiano sul software