Sembra che i possessori di Mac non possano proprio dormire sonni tranquilli: l’ultimo malware sviluppato dal crimine informatico per colpire chi si affida alla tecnologia Apple si chiama OSX/CrescentCore e sembra ancora più temibile dei precedenti (anche perché si tratterebbe di un programma ideato per eludere la sorveglianza degli antivirus). La presenza della minaccia è stata rilevata su numerosi siti Internet dalla compagnia Intego, che l’ha definita “the next generation of fake Flash Player malware”.

L’iter che essa segue sembrerebbe sempre lo stesso: sfruttando il desiderio di molti utenti di vedere film, serie tv o leggere libri e fumetti gratuitamente (e che quindi navigano su siti che assicurano il download gratuito di prodotti simili), il malware richiede al malcapitato l’installazione di un aggiornamento di Flash Player, dietro il quale però si nasconde proprio CrescentCore.

Il malware si presenta con le sembianze di Flash Player.

Immagine presa dal sito di Intego

Due sono le tecniche messe in atto da questo malware che lo renderebbero particolarmente pericoloso:

1. Per prima cosa, esso si accerta che la sua esecuzione stia avvenendo su un dispositivo vero e proprio o su uno virtuale (VM): nel secondo caso, CrescentCore si disattiva subito. È bene sottolineare infatti come spesso gli esperti di sicurezza informatica tendano a operare su dispositivi virtuali proprio per evitare di infettare i propri: nel caso rilevi di essere presente su un VM, CrescentCore smette immediatamente di funzionare proprio per eludere i controlli degli analisti ed evitare che questi ne possano studiare mosse a tattiche;
2. Subito dopo, verifica se sul dispositivo della vittima sia stato scaricato o meno un programma antivirus/antimalware: se sì, CrescentCore smette all’istante di operare per le ragioni precedentemente esaminate; altrimenti, procede contemporaneamente all’installazione di LaunchAgent (descritto come “persistent infection”) e Advanced Mac Cleaner (OSX/AMC) – o in alternativa un’estensione dannosa di Safari –, infettando il computer Apple della vittima, il quale fungerà da trojan horse per la successiva infezione di dispositivi Windows.

Come fare dunque per evitare di cadere nella trappola di CrescentCore? Intego invita anzitutto gli utenti a non installare più Flash Player (neanche nella sua versione originale) e quindi a disinstallarlo in caso sia già presente sul dispositivo in uso: d’altronde a partire dal 2020 il software verrà comunque ritirato da Adobe perché ormai arretrato e perché rappresenta uno dei canali più sfruttati dai truffatori informatici per la diffusione capillare di malware. Inoltre, è bene dare esecuzione al software antivirus Mac e procedere all’aggiornamento del sistema operativo, dei browser e delle loro estensioni quando Apple rilascia eventuali patch. Oltre a ciò, è il caso di evitare sempre di scaricare applicazioni e software dalla dubbia provenienza (e quindi poco sicuri) e prestare massima attenzione anche a fonti apparentemente inoffensive come i risultati di ricerca di Google.

Ma CrescentCore non è certo il primo malware concepito per colpire Apple: proprio di recente, infatti, sempre Intego aveva scoperto OSX/Linker, un programma che mirava a rubare informazioni sensibili presenti all’interno del dispositivo infettato, rendendolo di fatto una botnet (ossia una rete costituita da tutti gli apparecchi infettati da virus).

Come risulta evidente, il cybercrime attualmente prende di mira sempre più spesso MacOS (il sistema operativo dei Macintosh realizzato da Apple), nonostante in un primo momento si ritenesse tale piattaforma quasi immune da minacce simili, intercettando una fetta di mercato giudicata esigua per risultare appetibile agli occhi dei truffatori informatici. Se possedete un Mac, state quindi molto attenti – soprattutto in questo periodo – a dove e come navigate in Internet…

Tweet