Apple neutralizza due virus per Mac in poche ore. Come controllare se il Mac è stato infettato
Nel corso del fine settimana appena trascorso, alcuni esperti di sicurezza hanno individuato un nuovo malware chiamato OSX/Dok, che interessa(va) tutte le versioni di macOS, incluso Sierra. Una volta installato, OSX/Dok è, rectius, era in grado di intercettare tutto il traffico Web, anche quello trasmesso tramite HTTPS (cifrato). Contemporaneamente alla scoperta di OSX/Dok, è stata identificata una variante battezzata “Bella”.
Ancora prima che la notizia dei due nuovi malware potesse diffondersi, Apple ha aggiornato il file di sistema XProtext.plist (una sorta di anti-virus) che include le definizioni delle nuove “minacce” OSX/Dok.A e OSX/Dok.B, e si aggiungono alle precedenti 73 tutte neutralizzate. XProtext.plist viene aggiornato in remoto, quindi non è necessario alcun intervento da parte dell’utente, se non quello di lasciare il computer collegato ad Internet.
OSX/Dok (OSX/Dok.A)
Per la cronaca, l’infezione di OSX/Dok arrivava tramite una e-mail phishing che includeva un testo in tedesco con domande sulla dichiarazione fiscale in Svizzera, e un allegato chiamato Dokument.zip.
Una volta aperto quest’ultimo, era necessaria una buona dose di autolesionismo da parte dell’utente perché il Mac potesse essere infettato.
Infatti, prima un falso messaggio – sempre con l’icona errata di Anteprima – avvisava che il documento non poteva essere aperto, e poi subito dopo una finestra di dialogo informava che era disponibile un aggiornamento di sicurezza, e per poterlo installare era necessaria la password amministratore.
Un maldestro tentativo del pirata informatico per ottenere i privilegi di amministratore dal momento che la presenza di update non viene segnalata in questo modo, e soprattutto non è necessario digitare la password amministratore.
Come verificare se il Mac è stato infettato
1) Una volta fornita la password amministratore, il malware apportava una serie di modifiche installando un falso certificato chiamato Comodo RSA Extended. Per controllare, selezionate Applicazioni/Utility/Accesso Portachiavi, quindi click su Sistema nella colonna laterale. Se il certificato è presente, cliccateci sopra con il tasto destro del mouse, e poi dal menu che appare selezionate “Elimina”.
2) La seconda modifica riguardava la configurazione di un server proxy. Per verificare, andate in Preferenze di Sistema/Network/Avanzate/Proxy e poi Configurazione proxy automatica, che di default non è spuntata. Se l’opzione è attiva, togliete il segno di spunta e poi premete su OK, quindi sul pulsante Applica.
3) Verificare la presenza di una applicazione chiamata AppStore in Macintosh HD/Utenti/Condivisa. Se c’è, spostatela nel Cestino.
4) In Inizio/Libreria/LaunchAgents cercate ed eliminate questi tre file (di default, la Libreria utente è invisibile, per visualizzarla seguite le istruzioni di quest’altro articolo click qui):
– com.apple.Safari.pac.plist
– com.apple.Safari.proxy.plist
– Homebrew.mxcl.Tor.plist
Effettuare la stessa verifica anche nella Libreria che si trova in Macintosh HD.
Il certificato e il proxy servivano per monitorare il traffico Web.
Bella (OSX/Dok.B)
Proprio come OSX/Dok, Bella si presenta come un file zip denominato Dokument.zip, che contiene un’applicazione – il malware – chiamato Dokument. Non mostra il falso messaggio degli aggiornamenti di sicurezza da scaricare, ma installa una backdoor chiamata Bella, che è open source ed è disponibile su GitHub. Bella “dialoga” con un server in Russia ed era in grado di scattare schermate del Mac, controllare il microfono, copiare la cronologia di iMessage ed altro ancora.
Come verificare se il Mac è stato infettato
A. Verificare la presenza di una applicazione chiamata AppStore che si dovrebbe trovare in Macintosh HD/Utenti/Condivisa. Se c’è, spostatela nel Cestino
B. Bella installa una serie di file invisibili. Per visualizzarli, con Sierra premete ⌘-⇧-. (comando-maiuscole-punto). Com El Capitan e precedenti, lanciate il Terminale che si trova in Applicazioni/Utility, quindi digitate questa stringa e poi premete Invio:
defaults write com.apple.finder AppleShowAllFiles YES
Riavviate il Finder incollando quest’altra stinga, e poi premete Invio:
sudo killall Finder
Per rendere nuovamente invisibili i file nascosti ripetete la procedura avendo cura di sostituire Yes con NO nella prima stringa.
Cercate ed eliminate nella Libreria utente i seguenti file:
Libreria/Containers/.bella/bella
Libreria/Containers/.bella/bella.DB
Libreria/LaunchAgents/com.Apple.iTunes.plist
Effettuare la stessa verifica anche nella Libreria che si trova in Macintosh HD.
10 Commento
Non è sufficiente utilizzare “Malwarebytes Anti-Malware”?
Si, ma in verità è sufficiente avere il Mac sempre collegato a Internet per scaricare appena disponibili le nuove definizioni dei malware 👍
Bastava leggere con attenzione il messaggio. Apple non avrebbe mai scritto ‘a OS’ ma ‘an OS’. Già quello era un segnale.
io in Svizzera non ho nulla …. almeno per adesso ahahahah
io mi ritrovo con un certificato COMODO, ma sotto root di sistema. non so se sia lo stesso. con la scansione malware non mi trova nulla
Spidermac sempre aggiornatissimo e puntuale 😉 Anche la spiegazione dettagliata su come scovare ed eliminare “manualmente” i due intrusi, è da manuale. Grazie Ste 👍
Buongiorno Stefano!
Super articolo.
Per scrupolo stavo controllando il mio MAC per la ricerca di Bella. Dopo aver lanciato il “comando sudo killall Finder”, nella finestra del Terminale mi è comparsa la richiesta di una Password (immagino di amministratore): è normale?
Andrea
Si
Ciao Stefano, a proposito di Malwarebytes Anti-malware, in seguito alla scansione dice di aver trovato come problemi da eliminare l’applicazione MplayerX.app, che è il programma con cui guardo i miei video, mi trovo molto bene, ed inoltre il file org.niltsh.MPlayerX.plist presente nella cartella utente/preferences/, mi devo preoccupare?
La versione di MPlayerX che si scarica dal Mac App Store click qui, è sicura, ma quella che si può scaricare direttamente dal sito dello sviluppatore installa anche ad-ware e PUP (potentially unwanted program), cioè programmi non desiderati. Da qui la scelta degli esperti di Malwarebytes di includere MPlayerX tra i programmi “pericolosi”. Secondo me ti conviene utilizzare VLC Player che non ha nulla da invidiare a MPlayerX.