Malware OSX.KeRanger: perché è inutile installare un antivirus

Il mondo Mac è in allarme dopo la scoperta del malware OSX.KeRanger, e in molti si chiedono se è arrivato il momento di installare un antivirus.

Premessa: al momento non esistono virus veri e propri per la piattaforma OS X, cioè un malware in grado di infettare un Mac, e poi autonomamente contagiarne altri diffondendosi via Internet o in altri modi.

Lo stesso OSX.KeRanger non è un virus, ma appartiene alla famiglia dei ransomware, un particolare malware che si diffonde come un trojan, cioè nascosto in un’altra applicazione, Transmission in questo caso, ed effettua la cifratura di alcuni tipi di documenti presenti sull’hard disk del computer della vittima, quindi chiede un riscatto (ransom) per decriptarli e renderli nuovamente disponibili.

A partire da OS X 10.6.4 Snow Leopard, il file di sistema XProtect.plist, che include le definizioni dei malware, viene aggiornato in remoto da Apple senza che l’utente debba compiere alcuna azione, è sufficiente che il Mac sia collegato ad Internet e che in Preferenze di Sistema/App Store sia spuntata l’opzione “Installa i file dei dati di sistema e gli aggiornamenti di sicurezza” (lo è di deafult).

Fino adesso, Cupertino è intervenuta varie volte per aggiornare remotamente il file XProtect.plist, è accaduto per alcune versioni di Adobe Flash e Java che includevano pericolose falle attivamente sfruttate dai pirati informatici, e per una manciata di trojan, il più famoso dei quali è stato Mac Defender.

Per rispondere alla domanda se è il caso di installare un antivirus, bisogna tenere presente che il fattore tempo è fondamentale, infatti è necessario che i vari produttori rilascino l’aggiornamento delle definizioni dei virus non appena vengono scoperte le varie minacce, e che l’utente effetti l’update.

Ad esempio, OSX.KeRanger si è diffuso nella tarda serata di venerdì 4 marzo, e già domenica Apple lo aveva aggiunto in remoto all’elenco dei malware del file XProtect.plist di tutti i Mac online, rendendo impossibile installare o lanciare la versione infetta di Transmission 2.90.

Poco dopo, lo stesso sviluppatore di Transmission ha sostituito la release compromessa presente sul suo sito Web con la numero 2.91, e poi ha rilasciato Transmission 2.92 che è in grado di rimuovere OSX.KeRanger. Il tutto è avvenuto ancora prima che i vari produttori di antivirus potessero rilasciare una aggiornamento delle definizioni dei virus che includesse OSX.KeRanger.

In pratica, venerdì notte chi aveva un qualsiasi antivirus installato sul proprio Mac, ed ha scaricato la versione compromessa di Transmission 2.90, è stato comunque infettato perché nell’elenco delle definizioni dei malware dell’antivirus non poteva ancora esserci OSX.KeRanger.

In conclusione, non c’è niente di più efficace del sistema antimalwre messo a punto da “mamma Apple”.