Nuovi malware per Mac come macOS Shlayer e macOS Bundlore

La maggior parte degli utenti durante la navigazione sul Web si rende conto che ci sono siti dannosi di cui devono essere diffidenti. Ma, sopratutto con i risultati dei motori di ricerca come Google e Bing, molti ritengono che qualsiasi risultato venga proposto sia del tutto sicuro. Questo non potrebbe essere più lontano dalla verità.

E’ stato scoperto che è possibile riscontrare risultati di ricerca dannosi in tutti questi motori. Ciò non dovrebbe sorprendere dal momento che è già stato segnalato  in diverse occasioni come gli hacker manipolano i risultati della Ricerca Google per indurre gli utenti a fare clic su siti dannosi e scaricare malware.

Un simile incidente è stato recentemente trovato dalla società di sicurezza informatica Intego che ha scoperto un nuovo malware MAC che non solo sfugge alla sicurezza di Apple, ma risulta completamente non rilevato su VirusTotal. Consiste in “nuove varianti unica” del malware OSX / Shlayer e OSX / Bundlore precedentemente noti.

Già nel gennaio 2019 è stato identificato un gruppo di criminali informatici che utilizzavano malware Shlayer per infettare i dispositivi Mac, con l nome di VeryMal. Il gruppo ha utilizzato tecniche di steganografia per impedire il rilevamento e il codice dannoso incorporato negli annunci pubblicitari e nelle immagini popup.

Lo stesso malware è stato identificato anche all’inizio di gennaio tramite l’installazione della barra “Any Search” sul dispositivo Mac attaccato, tramite gli aggiornamenti Adobe Flash per distribuire adware in modo da poter visualizzare annunci illegali. Oltre all’adware, il malware intercetta e raccoglie i dati del browser dal dispositivo infetti alterando i risultati della ricerca per fornire un gran numero di annunci “sospetti”.

In aggiunta, macOS Bundlore è un adware, un tipo di malware noto per la visualizzazione di pubblicità indesiderate su dispositivi Mac infetti già dal 2015. Anch’esso non solo utilizza diverse tecniche per bypassare il meccanismo di sicurezza di Mac, ma raccoglie anche i dati personali dal dispositivo e reindirizza gli utenti su siti malevoli.

Nella campagna in corso, gli hacker utilizzano le ricerche di Google per diffondere questi malware. Diffondere sotto forma di “cavallo di Troia” presentandosi come immagine di un disco (.dmg) che può essere utilizzata per installare Adobe Flash Player; gli utenti vengono reindirizzati alla pagina di installazione tramite ricerche google fraudolente.

Per fare un esempio, l’utente può cercare il titolo esatto di un video di YouTube e quindi essere indirizza con risultati di ricerca che lo porterebbero a una pagina in cui gli dice che il proprio Flash Player deve essere aggiornato. E nelle stesse pagine vengono anche forniti alcuni avvisi per renderlo più serio e attirare l’attenzione dell’utente.

Uno screenshot condiviso dai ricercatori mostra come appare il popup:

Mac-malware-diffusione-through-maligni-google-ricerca-risultati

Seguendo queste istruzioni, l’app di installazione si apre e viene eseguito uno script di shell (bash), in un terminale che estrae un file di archivio .zip “auto-incorporato e protetto da password”, che contiene un bundle .app Mac (ovviamente dannoso).

Mac-malware-diffusione-through-maligni-google-ricerca-risultati-1.jpg

I ricercatori spiegano ulteriormente nel loro post sul blog i passaggi successivi che seguono per completare con successo l’attacco:

Una volta che l’utente procede infine al download e al montaggio del file di immagine del disco, vengono visualizzate le istruzioni che spiegano in dettaglio come installare il flash player.

Dopo aver installato l’app Mac in una cartella temporanea nascosta, viene avviata l’app  Mac ed il  Terminale viene chiuso. Tutto ciò avviene in una frazione di secondo.

Una volta avviata l’app, viene scaricato un legittimo programma di installazione di Flash Player con firma Adobe, in modo che possa sembrare autentica, ma l’app malevola nascosta è progettata per avere la possibilità di scaricare qualsiasi altro malware per Mac o pacchetto di adware, il tutto sotto il controllo dei server di controllo ai quali l’app malevola si connette e rimane in ascolto per riceve comandi da eseguire in locale.

In questo modo, la macchina dell’utente è compromessa.

Per concludere, i motori di ricerca come Google fanno sempre del loro meglio per tenere filtrare tali risultati di ricerca, ma come per tutto ciò che riguarda la sicurezza, il successo non è garantito in ogni momento. Pertanto, gli utenti possono ritenersi al sicuro solo se scaricano file da siti Web affidabili e verificati.

Se si ha il sospette di essere stati infettati, si può provare a rimuovere il malware utilizzando VirusBarrier di Intego, nel caso che il vostro antivirus non l’abbia ancora rilevato.

Non è la prima volta che i criminali informatici abusano di Google per diffondere malware. L’anno scorso, HackRead ha segnalato esclusivamente come gli hacker utilizzano Google Adwords e Google Sites per diffondere malware con una versione falsa del browser Google Chrome.

Inoltre, nel 2017, gli hacker, hanno sfruttato i risultati della Ricerca Google per distribuire il trojan Zeus Panda Banking utilizzando SEO malvertising e SERP Poisoning.

Nell’ottobre dello scorso anno, i ricercatori hanno identificato uno strano e raro comportamento nei server di Googlebot da cui provenivano richieste malevole. Dopo aver approfondito, è stato scoperto che gli hacker stavano usando Googlebot per cryptomining attacchi malware.
 

Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub