MacDownloader
Il malware MacDownloader è una minaccia molto dannosa e potente che è in grado di provocare molto caos se riesce a compromettere un sistema con successo. La minaccia MacDownloader prende di mira i sistemi che eseguono l'OSX di Apple, come potrebbe essere evidente dal suo nome. Sembrerebbe che gli autori del malware MacDownloader lo stiano propagando nascondendo questa minaccia come un aggiornamento di Adobe Flash Player. Questa minaccia piuttosto di fascia alta è probabilmente la creazione di un APT iraniano (Advanced Persistent Threat). Questo APT tende principalmente a perseguire obiettivi di alto profilo, quindi gli utenti regolari non saranno probabilmente interessati dal malware MacDownloader. Secondo i rapporti, il malware MacDownloader è stato finora utilizzato contro appaltatori della difesa statunitensi come Lockheed Martin, Raytheon e Boeing.
Come funziona la minaccia MacDownloader
Gli autori del malware MacDownloader sembrano propagare la minaccia tramite campagne e-mail di spam. L'obiettivo dell'email è convincere l'obiettivo a visitare un sito Web che offre programmi di formazione gratuiti e corsi su misura per la persona desiderata. Tuttavia, se i target tentano di visualizzare uno qualsiasi dei contenuti ospitati nella pagina fasulla, il sito Web chiederà loro di scaricare e installare un aggiornamento dell'applicazione Adobe Flash Player. Questo è un trucco comune usato dagli autori di malware per propagare le loro creazioni. Se la destinazione cade per questo trucco e installa il falso aggiornamento di Adobe Flash Player, la minaccia MacDownloader mostrerà una barra di avanzamento dell'installazione fraudolenta e quindi mostrerà una notifica, che afferma che è presente un adware sul sistema dell'utente. Ciò dovrebbe certamente sollevare una bandiera rossa, poiché Adobe Flash Player non è pensato per avere moduli che abbiano qualcosa a che fare con la sicurezza informatica. L'avviso falso afferma inoltre che l'adware che è stato presumibilmente rilevato verrà rimosso dal sistema. Successivamente, il malware MacDownloader richiederà agli utenti di inserire le proprie credenziali di accesso se desiderano iniziare il processo di rimozione dell'adware. Gli strumenti anti-malware legittimi non ti chiederanno di inserire il tuo nome utente e la tua password, e tali richieste strane dovrebbero essere sicuramente considerate dagli utenti una bandiera rossa. La minaccia MacDownloader non ottiene persistenza sull'host compromesso, il che significa che una volta che l'utente lo chiude, la minaccia non verrà più eseguita. Finché le destinazioni non hanno compilato le credenziali di accesso prima di chiudere l'applicazione, non dovrebbero esserci problemi. Tuttavia, se l'utente ha fornito al malware MacDownloader il proprio nome utente e password, la minaccia si assicurerà di archiviare i dati in un file chiamato "applist.txt", che verrà trasferito al server C&C (Command & Control) del attaccanti.
Come accennato, la minaccia di MacDownloader non ottiene persistenza, ma ciò non avviene in base alla progettazione poiché i suoi creatori hanno tentato di dare persistenza dell'applicazione non sicura. Tuttavia, ci sono vari bug nel codice malware MacDownloader che gli impediscono di ottenere correttamente la persistenza sulla macchina infiltrata. Attualmente, il server C&C della minaccia MacDownloader non è in linea. Ciò significa che la minaccia non può causare danni per il momento. Tuttavia, il malware MacDownloader ha un grande potenziale per causare molti danni ai suoi obiettivi e potrebbe presto essere aggiornato e ulteriormente potenziato.
