OSX/KitM.A: il malware Mac che cattura lo schermo

Nuove notizie, e non propriamente rassicuranti, sul mondo della sicurezza dei Mac: è di nuovo rischio malware. Superato lo “scandalo” Flashback e debellati gli sparuti trojan apparsi in Rete negli ultimi tempi, appare una nuova minaccia. Si chiama OSX/KitM.A ed è un malware in grado di effettuare silenziosamente screenshot della macchina in uso, per poi caricarli su un server remoto.

La minaccia non è affatto diffusa e, per quanto se ne sappia ora, non costituisce oggi un problema per i numerosi utenti Mac sparsi per il globo. Così come comunica F-secure, infatti, il software malevolo è stato rinvenuto solamente su una macchina, quella di un attivista africano membro dell’Oslo Freedom Forum.

Il funzionamento del trojan è abbastanza semplice, sebbene non sono ancora conosciute le sue modalità di installazione. Dopo aver creato un applicazione dal nome molto simile a quelle ufficiali di Apple – MacApp – viene creata una cartella dove a intervalli regolari vengono effettuati degli screenshot della macchina in uso. Il malware cerca quindi di caricarli su due siti, securitytable.org e docsforum.info, al momento non funzionanti o comunque non aperti al pubblico.

La pericolosità di una simile minaccia è presto comprensibile: avendo a disposizione intere schermate di OS X, i malintenzionati potrebbero avere rapido accesso alle informazioni sensibili dell’utente, compresi anche gli estremi della carta di credito qualora lo screenshot venisse salvato durante un acquisto in Rete o nel mentre di un’operazione di online banking.

L’applicazione, inoltre, è correttamente segnata con un Apple Developer ID: questo significa che il software può installarsi tranquillamente senza che nessun avviso di minaccia venga mostrato a schermo all’utente.

Non è dato sapere molto di più al momento, ma si è certi che la stessa Cupertino correrà ai ripari eventualmente rilasciando un upgrade per i sistemi operativi coinvolti oppure limitando l’accesso all’Apple Developer ID in questione, a quanto pare una copia o un falso. Nel frattempo, gli utenti possono verificare di non essere stati infettati cercando la cartella MacApp nella directory di home del Mac. Si ricorda, infine, come dalle preferenze di sistema sia possibile regolare la modalità di installazione del software, escludendo tutti i casi di download e accesso automatico.