Week-end di trojan e malware per Mac OS

Quello che è appena trascorso potrebbe essere ribattezzato il “week-end del malware per Mac OS X”. Sono stati resi noti, infatti, una vulnerabilità e alcuni malware, per il nostro sistema operativo, che potrebbero permettere a un hacker di prendere il controllo del nostro Mac.

Si è cominciato giovedì, con il comunicato di Intego, (una nota software house francese che si occupa di Internet Security e software per la privacy per Macintosh): ha reso nota una vulnerabilità critica in ARD-Apple Remote Desktop presente in Mac OS x Tiger e Leopard.

Il problema nasce dal fatto che qualunque utente esegua un determinato software, guadagna i privilegi del proprietario di quell’applicativo; nel nostro caso, il proprietario dell’agente ARD è root dunque, qualunque codice si esegua via ARD Agent, lo si esegue come root… capite bene che questo può avere conseguenze devastanti, dalla cancellazione di file sul computer (indistintamente da chi ne sia il proprietario) al cambiamento delle impostazioni di sistema, nonché al furto di informazioni riservate e tutto senza che sia richiesto di immettere la password di root.

Se usate Virus Barrier di Intego, la protezione necessaria contro questo tipo di attacchi è già integrata nell’ultimo aggiornamento rilasciato il 19 Giugno, che sostanzialmente va a disattivare la capacità dell’Agente ARD di eseguire AppleScript; vale inoltre il solito consiglio (non mi stancherò mai di ripeterlo) di non eseguire software scaricato da siti poco affidabili o ricevuti tramite mail (soprattutto da mittenti sconosciuti).

Qualche hacker non ha perso tempo e, come ha segnalato anche Setteb.it, già sono in circolazione codici maliziosi; OSX.Trojan.PokerStealer, segnalato dalla stessa Intego, si camuffa sotto le spoglie di un gioco (PokerGame) ma in realtà è uno script che trasferisce in remoto i dati d’accesso e l’IP del computer, mascherando il tutto con avvertimento (falso) di preferenza corrotta.

Anche SecureMac ha fatto una segnalazione relativa ad un trojan che si diffonde tramite iChat o Limewire, che si presenta con i nomi ASthtv05 o da AStht_v06 e riesce a registrare password e nome utente, inviandole all’esterno consentendo così un eventuale accesso remoto; SecureMac consiglia l’utilizzo di MacScan 2.5.2 aggiornato con le ultime definizioni.

Infine segnalato un rischio di attacchi DoS (Denial of Service) per gli utilizzatori di Ruby a causa di un codice in circolazione: la vulnerabilità può essere risolta scaricando gli aggiornamenti, già disponibili per il download.