Crossrider: la minaccia più sofisticata per macOS è un adware

Feb 28, 2020 Marco Schiaffino In evidenza, Malware, News, RSS, Scenario 0

I malware per i computer Apple continuano a usare tecniche piuttosto elementari. Questo adware, invece, rappresenta una curiosa eccezione.

Se quella che non esistano malware per macOS è una leggenda assolutamente priva di fondamento, che il panorama delle minacce per i computer Apple sia molto diversa da quelle per Windows è una verità indiscutibile.

A spiegarlo è Thomas Reed, ricercatore di MalwareBytes, che in un post sul blog ufficiale della società di sicurezza descrive lo strano paradosso del mondo macOS.

I malware che prendono di mira i dispositivi Apple, spiega Reed, sono infatti piuttosto elementari e, a differenza di quanto accade per Windows, i pirati informatici non sviluppano differenti versioni con grande frequenza.

In realtà il dato non deve stupire più di tanto. Come spiegano gli esperti di sicurezza, la continua comparsa di varianti dei malware per i sistemi Windows si spiega con il tentativo di aggirare i sistemi di protezione antivirus.

Quando si parla di mac, invece, i pirati sanno che ci sono buone probabilità che i computer non siano nemmeno protetti da un software di sicurezza. Insomma: progettare complicate tecniche di attacco sarebbe tempo sprecato.

L’eccezione, però, esiste ed è rappresentata da Crossrider, un adware che utilizza una serie di tecniche estremamente elaborate per compromettere i browser su macOS e visualizzare pubblicità indesiderate sul computer infetto.

In particolare, Crossrider esegue una serie di modifiche a livello di sistema per garantire i privilegi di root a una serie di processi e daemon che attiva sul computer, installando numerosi file sul sistema.

Per eseguire l’installazione, che richiede l’utilizzo della password di amministratore, utilizza uno stratagemma visualizzando una finestra in cui è riportato una falsa richiesta di aggiornamento del sistema e, una volta che l’utente ha inserito la password, la utilizza per installare gli altri programmi malevoli.

Particolarissima anche la tecnica che usa per aggiungere le estensioni a Safari. Crossrider, infatti, crea una copia del browser, modificandola in modo che abiliti certe estensioni all’apertura senza alcun intervento richiesto da parte dell’utente.

In teoria questa operazione dovrebbe essere rilevata attraverso l’analisi del certificato digitale di Safari da parte del sistema, ma come spiega Reed, il metodo di verifica è tutt’altro che infallibile e la procedura funziona senza che macOS blocchi la copia di Safari. La copia viene poi cancellata, ma le estensioni rimangono attive sul programma di navigazione originale.

Il fatto che il payload sia limitato a modifiche delle pagine iniziali di navigazione (anche su Chrome) e ad attività tipiche di un adware, secondo Reed, non deve rassicurare più di tanto. Crossrider, infatti, è talmente invasivo da poter provocare grossi problemi di sicurezza e permetterebbe al suo autore anche di intercettare e decodificare il traffico inviato via Internet.

Condividi l'articolo