{"id":17143,"date":"2019-04-08T09:26:58","date_gmt":"2019-04-08T07:26:58","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17143"},"modified":"2019-11-22T10:54:37","modified_gmt":"2019-11-22T08:54:37","slug":"macos-exe-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/macos-exe-malware\/17143\/","title":{"rendered":"Infezione EXE per il vostro Mac"},"content":{"rendered":"

L\u2019invulnerabilit\u00e0 di macOS \u00e8 un mito<\/a>, e ve lo abbiamo confermato varie volte. Di recente, i cybercriminali hanno trovato un altro modo per aggirare il suo meccanismo di difesa integrato. Raccolgono dati riguardanti il sistema infetto e le aggiungono a un adware mediante file con estensione EXE, che di solito funzionano solo su Windows<\/a>. Un file EXE che infetta gli utenti Mac? Strano, ma sembra che il metodo funzioni.<\/p>\n

\u00a0<\/strong><\/p>\n

Come avviene l\u2019infezione: un firewall piratato con malware EXE integrato<\/h3>\n

Ironia della sorte vuole che il malware si trovi proprio in una copia piratata di un prodotto di sicurezza<\/em>, il firewall Little Snitch. Gli utenti che volevano evitare di pagare la licenza alla fine hanno avuto il benservito.<\/p>\n

La versione infetta del firewall \u00e8 stata diffusa via torrent; le vittime hanno scaricato sui propri computer il file ZIP con un\u2019immagine disco in formato DMG (e fin qui tutto nella norma). Tuttavia, a uno sguardo pi\u00f9 attento, i contenuti dei file DMG hanno rivelato la presenza della cartella MonoBundle con all\u2019interno un file installer.exe. Un oggetto inusuale per macOS, dal momento che i file EXE di solito non funzionano sui dispositivi Mac.<\/p>\n

Gatekeeper guarda dall\u2019altra parte<\/h3>\n

Di fatto, i file eseguibili di Windows non sono supportati<\/em> da macOS e Gatekeeper (una funzionalit\u00e0 di sicurezza di macOS che blocca l\u2019avvio di programmi sospetti) semplicemente ignora i file EXE. Un comportamento piuttosto comprensibile: non ha molto senso sovraccaricare il sistema analizzando file che non sono attivi, soprattutto quando uno dei punti di forza tanto promossi da Apple \u00e8 proprio la velocit\u00e0 dei suoi sistemi.<\/p>\n

Tutto andrebbe secondo la norma se non ci fosse un \u201cma\u201d: molti programmi sono disponibili per Windows, ma<\/em> a volte anche gli utenti Mac ne hanno bisogno, per cui esistono diverse soluzioni per eseguire file non nativi della piattaforma. Uno di questi \u00e8 il framework<\/a> Mono, un sistema open source che consente agli utenti di aprire applicazioni Windows su altri sistemi operativi, macOS compreso.<\/p>\n

Come potete immaginare, i cybercriminali sfruttano proprio il framework; di solito \u00e8 necessario installarlo sul computer separatamente, e invece i cybercriminali sono riusciti a trovare un modo per creare un pacchetto unico con il malware (ricordate lo strano file EXE nella cartella MonoBundle?). Il risultato \u00e8 che il malware riesce a operare anche sui Mac sui quali sono presenti solo programmi nativi.<\/p>\n

Come avviene l\u2019infezione: spyware e adware<\/h3>\n

Dopo l\u2019installazione, il malware raccoglie informazioni sul sistema infettato. Ai cybercriminali interessano il nome del modello, l\u2019ID del dispositivo, le specifiche del processore, la RAM e altri dati. Il malware prende queste informazioni e quelle sulle applicazioni installate e le invia al server C&C.<\/a><\/p>\n

Allo stesso tempo, il malware scarica molte altre immagini sul computer infettato che includono installer camuffati da Adobe Flash Media Player o da Little Snitch. Invece, si tratta di strumenti adware che vi tartasseranno di banner.<\/p>\n

Come difendersi<\/h3>\n

La morale della favola \u00e8 piuttosto semplice: nel mondo delle tecnologie informatiche moderne, nessun sistema \u00e8 completamente al sicuro. Inoltre, non ci si pu\u00f2 fidare ciecamente delle funzionalit\u00e0 di protezione integrate, anche quando sono considerate affidabili. Ecco qualche consiglio su come proteggere il vostro computer dai malware pi\u00f9 furbi:<\/p>\n