Nuovo ransomware per Mac… o è uno spyware?

Il nuovo malware ci ricorda che i Mac non sono immuni ai virus

Proprio tre anni fa, veniva scoperto il primo ransomware interamente sviluppato per Mac. Infettava il programma di installazione di Transmission, un client di BitTorrent e si chiamava KeRanger.

Questa estate, come se non avessimo già a che fare con abbastanza virus, ecco ThiefQuest, un nuovo ransomware solo per i Mac, scoperto dall’azienda K7 Lab. Anche ThiefQuest sfrutta il mondo dei download illegali, ma solo per diffondersi infettando i torrent stessi.

Quanto sono simili ThiefQuest e KeRanger? In realtà pochissimo, visto che questo nuovo malware ha anche funzionalità di spyware e backdoor, mentre il codice ransomware sembra funzionare male al di fuori degli ambienti di testing e, per tutti questi motivi, rappresenta un vero e proprio mistero per la comunità di esperti di cybersicurezza.

Particolarità di ThiefQuest

A tutti gli effetti si tratta di uno dei malware più sconcertanti scoperti negli ultimi tempi. Innanzitutto, perché l’accoppiata ransomware-spyware è piuttosto strana: un ransomware si fa notare subito quando si attiva, mentre gli spyware sono fatti per funzionare in secondo piano e rimanere nascosti il più possibile. Eppure, ThiefQuest contiene il codice di un keylogger (che registra le digitazioni su tastiera) e funzionalità spyware che ricercano dati, chiavi, password e numeri di carta di credito nel computer. Per questo, sulle prime si è pensato che si trattasse innanzitutto di uno spyware a cui era stato aggiunto un ransomware per massimizzare l’estorsione di denaro alle vittime.

Inoltre, analizzandone il comportamento in the wild, nella realtà, si è visto che nessuna delle vittime i cui computer sono stati infettati da ThiefQuest ha pagato il riscatto. Infatti, il codice del ransomware presenta alcuni bug che lo rendono poco efficace, motivo in più per credere che questo malware fosse pensato innanzitutto come spyware e backdoor.

Sempre a sostegno di questa teoria, bisogna notare che il ransomware non fornisce alla vittima un canale di comunicazione chiaro per parlare con il cybercriminale, per cui, nel caso del pagamento del riscatto, come farebbe a sapere per quali file deve inviare la chiave di crittografia? Infine, proprio relativamente a quest’ultima, bisogna dire che anche se ThiefQuest contiene tutti gli elementi necessari per la decriptazione, sembra non funzionare sui computer reali.

Insomma, sommando tutti i dati che abbiamo a disposizione, sembra un ransomware poco efficace e con qualche problema, ma con altre funzionalità ben più temibili di cui probabilmente non scopriremo mai lo scopo originale: ransomware con funzioni spyware o spyware con contorno di riscatto digitale?

Come si fa a infettarsi?

ThiefQuest si trova all’interno dei torrent di programmi come Little Snitch o Ableton e si camuffa da programma di aggiornamento del software di Google. Quando i file infetti vengono scaricati sul Mac il sistema invia vari avvisi di sicurezza, per cui è improbabile infettarsi a meno che ignori sistematicamente i messaggi di sicurezza del tuo computer Apple.

Anche questo comportamento piuttosto visibile stupisce, soprattutto se unito alla particolarità strutturale che abbiamo visto finora. Con così pochi ransomware per Mac, è davvero strano trovarne uno così complesso e, al tempo stesso, così diretto nel suo meccanismo di infezione.

Cosa fare in caso di infezione da ransomware

Se per caso il tuo Mac dovesse prendere questo o un altro ransomware e dovessi ricevere la tipica richiesta di riscatto, segui i consigli che trovi nel nostro articolo sui ransomware. In breve, è importante informare le autorità (polizia postale) e NON pagare il riscatto, dato che non si ha la sicurezza di ricevere la chiave di crittografia per riavere accesso ai propri file.

Infine, ricorda che la migliore strategia preventiva contro gli attacchi ransomware è fare una copia di backup di tutti i file importanti e aggiornarla ogni settimana. In questo modo, anche se un ransomware dovesse riuscire a criptare i tuoi file, non dovrai nemmeno preoccuparti del riscatto perché ti basterà formattare l’hard disk e reinstallare la copia di backup.

Ti ricordi quando i Mac erano invulnerabili?

In realtà non lo sono mai stati, semplicemente i cybercriminali si sono sempre orientati di più ai computer con Windows per massimizzare i risultati dei propri attacchi. E pensa che quest’anno i malware per Mac hanno addirittura superato quelli per Windows! Stenti a crederci, vero?

Ebbene, questo dato va preso un po’ con le pinze, perché ai fini di questo conteggio bisogna ricordare che gli adware e i programmi potenzialmente indesiderati (i cosiddetti PUP) sono considerati malware. Dal canto nostro, siamo d’accordo perché qualsiasi porzione di codice informatico che faccia compiere a un dispositivo azioni non volute dal proprietario è potenzialmente dannosa. Tuttavia, è anche vero che quando pensiamo al malware che può fare danni seri sui nostri computer e telefoni, normalmente abbiamo in mente worm, spyware, ransomware, trojan… Ebbene, queste minacce più serie rimangono più diffuse per i PC Windows che per i Mac.

Antivirus per Mac

Nonostante i malware più pericolosi siano ancora concentrati sugli utenti Windows, anche i proprietari di Mac devono proteggersi, come ci insegna il recente caso di ThiefQuest che abbiamo appena visto.

Noi di Panda Security la vediamo così: il rischio di infettare un dispositivo non dipende tanto dal sistema operativo, quanto dall’uso che se ne fa. E siccome gli hacker sono sempre più astuti e i malware sempre più sofisticati, anche se hai la certezza di non metterti mai nei guai, ti consigliamo di scaricare il nostro antivirus per Mac.

Buona navigazione protetta anche su Mac!