Il malware X-Agent colpisce macOS: come verificare se il proprio Mac è stato infettato

15 febbraio 2017 ore 14:20 | di | 23 commenti

Un nuovo OS X malware è stato scoperto dai ricercatori di sicurezza di Palo Alto Networks. Il malware, chiamato “X-Agent” o “Komplex,” è un Trojan (cavallo di Troia) creato dal gruppo di hacker Sofacy e apparentemente è stato progettato per rubare segreti industriali aerospaziali.

In realtà, Komplex non è una novità per Mac, è stato usato in passato sfruttando una vulnerabilità di MacKeeper. Tuttavia, questa nuova versione di Komplex si diffonde su Mac per mezzo di allegati e-mail. Ecco quello che dovete sapere per stare al sicuro!

Come avviene l’infezione

La diffusione di Komplex si basa sulla tecnica spear phishing, un metodo utilizzato dai criminali informatici per spingere la vittima ad aprire una e-mail con un allegato malevolo, in questo caso si tratta di un PDF con importanti informazioni sul programma aerospaziale russo.

Komplex

Quando si apre questo PDF, che in realtà è solo una parte del malware, verrà installato un file in grado di connettersi ad un comando a distanza e controllo (C & C) di un server. 

Il Trojan attende una connessione Internet e tenta di inviare una richiesta GET a Google per confermare che non è in esecuzione in un ambiente sandbox anti-analisi. Dopo la conferma di una connessione Internet attiva, Komplex inizia ad installare una serie di file e può apparire una finestra di dialogo, ma indipendentemente dal pulsante che viene cliccato, il malware viene installato.

Komplex Install avvisoLivello di pericolosità

Mentre Komplex non sembra fare nulla di dannoso dopo l’installazione, la situazione può cambiare radicalmente se il gruppo di pirati informatici Sofacy decidono di inviare i comandi  C & C dal server remoto. Attualmente, il rischio è solo per chi lavora nel settore aerospaziale, ma questa tecnica può essere usata contro qualsiasi tipo di utente Mac.

Si sospetta che Sofacy ha utilizzato questo malware per spiare le email del partito Democratico americano durante le recenti elezioni presidenziali.

Come verificare se il Mac è infetto

Se infettati, è possibile rimuovere manualmente i file Komplex per arrestare l’infezione. Dal Finder, selezionate in alto il menu “Vai”, e poi “Vai alla cartella”, quindi copiate e incollate una alla volta i seguenti percorsi (sostituite uomoragno con il vostro nome utente, quello della cartella inizio con l’icona di una casetta):

/Users/uomoragno/Library/LaunchAgents/com.apple.updates.plist

/Users/Shared/.local/kextd

Se non vengono trovati i file, apparirà l’avviso “Non riesco a trovare la cartella” e quindi il Mac non è stato infettato.

No infetto

Se il Mac è stato infettato, si aprirà la cartella con il documento evidenziato. Spostate i file nel cestino e riavviare il Mac, quindi svuotare il cestino e verificare nuovamente.

Mac infetto

Approfondimenti: , , , , , ,

Argomento: Mac

Commenti (23)

RSS commenti

  1. Jena Plinsky ha detto:

    Sono salvo!

  2. gregmar ha detto:

    Non l’ho trovato ma grazie!

  3. wall67 ha detto:

    Buona sera io se faccio la seconda ricerca /Users/Shared/.local/kextd mi trova la cartella /used/shared con dentro tre cartelle ed un file wondershare.plist. Che faccio????? Cancello

    Grazie

  4. Roberto Biagini ha detto:

    giusto una curiosità. Se il Mac ha attivo filevault corre gli stessi pericoli?

  5. giox ha detto:

    Anche io…salvoooo!!! 😁 Grazie Ste!!!

  6. policlaudiocp ha detto:

    Trovato niente perfetto e grazie

  7. Ppcaric ha detto:

    Mi sfugge come faccia l’apertura di un PDF su Mac OS a lanciare un qualcosa di eseguibile… 😳
    Normalmente, quando si prova a lanciare qualsiasi file vagamente eseguibile (tipo anche dei playground di Xcode) appare l’avviso di sistema che stai per lanciare qualcosa di potenzialmente pericoloso in quanto scaricato da internet e proveniente da uno sviluppatore non verificato, e in questo caso nulla?! 🤔

    • Stefano Donadio ha detto:

      Il PDF è solo una parte che compone il malware, che evidentemente sfrutta una qualche vulnerabilità.

      • Ppcaric ha detto:

        In rete ho trovato questo. E anche nel comunicato originale di bitdefender su ars technica non si fa nessun cenno alla modalità di infezione semplicemente aprendo un allegato PDF…
        Sa troppo di Windows questa modalità! Se è possibile anche su Mac passo a Linux! 😖

        —–
        How so? What’s the method in which it spreads?

        It doesn’t “spread”, it’s not a virus, it’s malware:

        It’s not entirely clear how the malware is being distributed because the Bitdefender researchers only obtained the malware sample, not the full attack chain. However, it’s possible a macOS malware downloader dubbed Komplex, found in September, might be involved.

        Komplex infected Macs by exploiting a known vulnerability in the MacKeeper antivirus software, according to researchers from Palo Alto Networks who investigated the malware at the time. The vulnerability allowed attackers to execute remote commands on a Mac when users visited specially crafted webpages.

        The user installs software with a vulnerability (in this case, Mackeeper), then visits a website specifically designed to exploit that vulnerability, which downloads a Trojan, at which point the command and control network takes over.

        The irony is that the user installing so-called “security software” such as Mackeeper actually installs the vulnerability that allows their computer to be hacked in the first place.

        • Stefano Donadio ha detto:

          Quando si pubblica un articolo su un malware, bisogna anche fornire al lettore la possibilità di verificare se il proprio Mac è stato infettato, e come eliminare l’infezione. Il comunicato di BitDefender e l’articolo di Ars Tecnica non lo fanno, a differenza di Symantec e Intego (una spanna nettamente al di sopra di BitDefender) che in qualche modo sono riusciti ad avere il malware in questione, e a fare un’analisi più approfondita.

          • ppcaric ha detto:

            Ho letto anche i comunicati che citi e credo di aver capito il malinteso. L’unico in cui si parla di un pdf è questo: click qui
            Ma ne parla come uno degli stadi attraverso cui si passa nel contagio, una volta che l’infezione ha avuto inizio, tramite la falla di MacKeeper.
            Quindi, ma correggimi se sbaglio, in un mac usato da un utente comune, che non installa software da terze parti non passando da App Store e non installa mackeeper, non si può prendere solo perché si apre un allegato di una mail (cosa abbastanza comune, invece, in ambiente windows).
            Scusa se insisto, ma sono un convinto sostenitore della non esigenza di anti-virus sui mac (anzi, sono convinto che, come nel caso in esame, facciano solo male al sistema) e questa notizia mi turbava non poco! 🙁

  8. dataghoul ha detto:

    Non ho trovato nulla nemmeno io.
    😀

  9. Giacomo ha detto:

    nel finder di 10.8.5 non vi è “VAI”. Quali alternative ci potrebbero essere? Grazie!

  10. Giacomo ha detto:

    Non infettato. Grazie. Molto efficiente e preciso come al solito.

  11. Mirco L ha detto:

    Ciao ,Malwarebytes può identificarlo ?
    Ho comunque eseguito la ricerca manualmente e ho trovato dei file ma nessuno è evidenziato , posso stare tranquillo ?

    • ppcaric ha detto:

      Spider-mac mi darà del pazzo per questo, ma se posso: non installare nessun software anti-malware o anti-virus! Spesso sono proprio questi (e solo questi) a permettere che succeda quanto riferito nell’articolo.
      Su Mac OS, se non hai installato software di terze parti fallati, è impossibile che l’apertura di un pdf lanci un qualsiasi processo in esecuzione.

      • Stefano Donadio ha detto:

        Non sei sicuramente pazzo, ma disinformato si.

        È difficilissimo discutere con te. Non è il PDF che installa qualcosa, l’allegato all’e-mail è già il malware, quando lo apri, appare un PDF, ma in realtà hai dato esecuzione ad un codice. Per questo quando appare la finestra di dialogo con le varie opzioni, si installa indipendentemente da quello che scegli.

        Esiste un file di sistema in cui Apple include le definizioni dei malware per Mac, ad oggi sono 68 in totale, ma alcuni di questi si installano senza la necessità di digitare la password amministratore. Tutti, sfruttavano una falla di macOS poi chiusa.

        Ad oggi non esistono virus per Mac, cioè in grado di diffondersi automaticamente, ma esistono i trojan e ad-ware.

Aggiungi un commento