Nuova variante di Trojan si può installare senza password
Flashback, un cavallo di Troia per Mac, scoperto lo scorso anno da Intego, ha cambiato tecnica di infezione (un’altra volta): ora è possibile essere contagiati semplicemente visitando un sito web.
Originariamente, Flashback era camuffato da installer per Adobe Flash Player, da qui il nome, ma poi è cambiato e ora finge di essere un Aggiornamento Software del Mac o un aggiornamento Java.
L’ultima variante, individuata da F-Secure e chiamata OSX/Flashback.K, sfrutta una bug in Java SE6. Questa vulnerabilità, identificata come CVE-2012-0507, permette al malware di installarsi da un sito web appositamente modificato che la vittima visita, senza bisogno che l’utente inserisca la password di amministratore.
Al momento, non esiste una soluzione per risolvere questa vulnerabilità su Mac (la falla è stata chiusa a febbraio solo per la versione Java per Windows).
Apple è stata a lungo criticata per il ritardo con cui rilascia gli aggiornamenti di sicurezza Java.
Per aggirare il problema, F-Secure consiglia di disattivare Java sui Mac. Con Safari è sufficiente togliere il segno si spunta all’opzione Abilita Java che si trova in Preferenze/Sicurezza.
11 commenti
riformulo una domanda che ho fatto tempo addietro:stefano,secondo te,non stanno aumentando gli attacchi a OSx in questo ultimo periodo,oppure siamo ancora nella norma?
io,ad esempio,quando vedo aggiornamenti di adobe,invece che fare l’aggiornamento in automatico,vado sul sito di adobe e riscarico completamente quello che mi serve.
al lancio dell’installazione,il programma vede l’esistenza di una versione precedente e procede col solo aggiornamento…penso che questo sia il buon senso a cui fai riferimento tu,ma questo non toglie che la frequenza di attacchi mi pare aumentata,nel dubbio ho installato(sia su tiger che su lion)l’antivirus da te conmsigliato,clamxav
Sia questa, sia quelle precedenti sono “minacce” a basso rischio se non proprio zero. In questo caso si tratta di una vulnerabilità conosciuta di Java che è tale solo perchè Apple non ha ancora rilasciato la patch di sicurezza.
Il cavallo di Troia che sfrutta una vulnerabilità di Office, scoperta a fine marzo, è in grado di infettare solo vecchie versioni di Word, e solo se gli utenti non hanno fatto l’ultimo update.
Buongiorno,
sono un neofita del mondo mac, una curiosità, come faccio a vedere se sono stato infettato da un “Trojan” tipo quello descritto nell’articolo? e in caso positivo che si deve fare?
Grazie
@ delio: puoi seguire le istruzioni riportate in quest’altro articolo oppure controllare il tuo hard disk con ClamXav (freeware).
@ stefano: grazie mi sa che usero ClamXav che suppongo trovi anche altre minacce se presenti.. Giusto?
Scusa ma qual è questo sito web ? E com’è possibile che aggiri una delle principali peculiarità di os x ?
@ aladar: si tratta di siti Web appositamente modificati da pirati informatici, e viene sfruttata una falla conosciuta di Java. A breve Apple dovrebbe rilasciare un aggiornamento di sicurezza.
@ delio: si, se sei stato “infettato”, ClamXav è in grado di individuare il Trojan.
@ Stefano: cosa mi consigli di disattivare JavaScript o installare ClamXav? Cosa mi impedirà di vedere la disattivazione di Java?
@ enriot: dal momento che per essere contagiato devi visitare determinati siti, che generalmente offrono il download di applicazioni di dubbia provenienza, potrebbe essere sufficiente adottare il buon senso fino a quando Apple rilascerà l’aggiornamento di sicurezza Java (è imminente).
Disabilitando Java, non visualizzerai le finestre po-up (a comparsa) oppure non beneficerai di alcuni “servizi” come il re-direct automatico ad un’altra pagina.
ClamXav è una buona idea installarlo per avere un livello di sicurezza aggiuntivo, ma io lo uso solo per accertarmi di non passare un file con virus per Windows ai miei amici che usano PC e non Mac 😉
@ Stefano: tutto chiaro, come sempre sei puntuale come un orologio Atomico. Grazie 1000!