settembre 29, 2014
L’evoluzione del malware per OS X
Esiste un malware specifico che attacca il sistema OS X , ovvero il sistema operativo dei computer Macintosh?
Eh sì, purtroppo sì. E per qualche strana ragione è da un po’ che non ne parlo… Molto male!
L’ultima volta che ne ho parlato è stato circa 2 anni e mezzo fa. Sì, è passato un sacco di tempo dall’apparizione del worm Flashback che colpì circa 700 milla Mac in tutto il mondo. L’industria della sicurezza IT ne ha parlato ampiamente (ed ha velocemente disabilitato la botnet Flashback), ma da allora, silenzio; nessuno ha più parlato dei malware che attaccano i sistemi Mac, come se non esistesse nessun “iMalware” capace di attaccare la “fortezza dell’impero Apple”.
Ma si sbagliavano di grosso…
Certo, se comparate il livello di diffusione o pericolosità dei malware che attaccano altri sistemi, la piattaforma più vulnerabile è senza dubbio Microsoft Windows e al secondo posto, Android (il suo figlio minore in un certo senso). Durante gli ultimi 3 anni i “cyber-cattivoni” hanno iniziato a bombarbare spietatamente il piccolo e innocente robottino verde, facendo aumentare esponenzialmente il livello di attività malware su questa piattaforma. Nel frattempo, nel regno iPhone e iPad (ad esclusione di paio di casi isolati di cyber-spionaggio) regnava una relativa pace, nonostante i criminali abbiano usato varie metodologie. Poco a poco, però, le forze del male si sono avvicinate ai Mac: le cose andavano bene rispetto alle altre piattaforma, ma presto o tardi anche i Mac sarebbero stati attaccati… Ed è proprio di questo che vi parlerò oggi.
Iniziamo dando i numeri:
- Il numero dei nuovi malware per Mac individuati negli ultimi anni ha raggiunto le migliaia;
- Nei primi 8 mesi del 2014, sono state individuate 25 diverse famiglie di malware per Mac;
- La probabilità che un Mac venga infettato da un malware specifico per Apple è aumentata di circa il 3%.
Nel 2013, @KasperskyLab ha individuato circa 1.700 campioni di malware per OS X Tweet
Ora se diamo uno sguardo più da vicino alla situazione e ci mettiamo nei panni di un esperto malware, il quadro è molto meno roseo…
Le minacce per Mac si sono evolute molto negli ultimi tempi e la percezione della sicurezza tra gli utenti Mac è leggermente cambiata (anche se non troppo). La questione principale è: che cosa ci riserva il futuro? Oggi cercheremo di rispondere a questa domanda, solo con numeri e fatti, con un’analisi senza pregiudizi. Siete tutti invitati a partecipare e a commentare! 🙂
Prima di tutto: i report principali
Che cosa è successo negli ultimi anni al mondo delle minacce-Mac? Inizierò con il seguente grafico; esso mostra il numero di file malware per OS X che abbiamo scoperto negli ultimi anni.
Come potete osservare dal grafico, solo 4 anni fa il numero degli oggetti dannosi si aggirava sulla cinquantina; poi nel 2011 c’è stato un’improvviso aumento di casi e, a partire da quell’anno, il numero continua a salire, raggiungendo le centinaia e le migliaia.
Qual è la situazione attuale?
Durante i primi otto mesi di quest’anno, abbiamo indentificato circa un migliaio di attacchi unici indirizzati a Mac che possiamo raggruppare in 25 famiglie principali:
- Backdoor.OSX.Callme: si diffonde nel corpo di un documento Word MS specialmente confezionato a questo scopo. Una volta lanciato, installa una backdoor via vulnerabilità. Dà all’hacker accesso remoto al sistema e allo stesso tempo ruba liste di contatti, apparentemente per ottenere nuove vittime.
- Backdoor.OSX.Laoshu: è in grado di scattare una screenshot al minuto. È stato firmato con un certificato affidabile dallo sviluppatore. Sembra che il virus writer abbia pianificato di caricarlo sull’App Store.
- Backdoor.OSX.Ventir: si tratta di un Trojan multi-modulare con un controllo remoto nascosto. Contiene un keylogger basato su di un driver logkext open source.
- Trojan.OSX.IOSinfector: è un’installer per la versione mobile Spy.IPhoneOS.Mekir (OSX/Crisis). Sì, infetta gli iPhone.
- Trojan-Ransom.OSX.FileCoder: il primo encryptor file per OS X. È in fase di sviluppo, un prototipo pieno di bug.
- Trojan-Spy.OSX.CoinStealer: il primo malware per OS X che ruba bitcoin. Si fa passare per un’utility open source per bitcoin, ma quello che fa è installare un’estensione dannosa per il browser e/o una versione patchata di bitcoin-qt (un’utility open source per realizzare il mining dei bitcoin).
Mai sentito parlare di un #malware per OS X? Purtroppo esistono: Tweet
A questo punto uno potrebbe dire: ok, ok, i malware per Mac esistono, ma sono rilevanti? Ce ne dobbiamo davvero preoccupare? È così facile per un Mac non protetto prendere un virus? Quale protrebbe essere il principale progamma malware?
Grazie a KSN vi possiamo rispondere. Ma prima di analizzare i numeri, una precisazione: questi dati provengono esclusivamente da utenti dei nostri prodotti. Cercare di verificare come si diffondono i malware globalmente, incluso tra gli utenti di altri prodotti di sicurezza o tra coloro che non hanno antivirus, è un lavoro ingrato e al tempo stesso approssimativo, perché si basa su estrapolazioni e deduzioni provenienti da fonti di vario tipo. Ciononostante, vale la pena analizzare i dati di KSN, per lo meno per farci idea.
Vi presentiamo quindi i 20 principali malware per OS X individuati nel 2013-2014 (dati mondiali):
Nome | Numero di individuazioni |
% |
AdWare.OSX.Geonei.b | 56.271 | 39,15 |
Trojan.OSX.Vsrch.a | 28.222 | 19,63 |
AdWare.OSX.Geonei.d | 23.904 | 16,63 |
Trojan.OSX.Yontoo.i | 7.595 | 5,28 |
AdWare.OSX.FkCodec.b | 6.395 | 4,45 |
Trojan.OSX.Yontoo.h | 3.636 | 2,53 |
Trojan.OSX.Yontoo.j | 3.366 | 2,34 |
AdWare.OSX.Geonei.c | 2.889 | 2,01 |
Trojan.OSX.Yontoo.a | 2.079 | 1,45 |
AdWare.OSX.Geonei.e | 1.758 | 1,22 |
Trojan.OSX.FakeCo.a | 1.413 | 0,98 |
Trojan.OSX.Okaz.a | 1.126 | 0,78 |
Trojan-Downloader.OSX.Vidsler.a | 868 | 0,60 |
RemoteAdmin.OSX.AppleRDAdmin.c | 677 | 0,47 |
AdWare.OSX.Bnodlero.a | 656 | 0,46 |
Trojan.OSX.Yontoo.b | 633 | 0,44 |
AdWare.OSX.FkCodec.a | 609 | 0,42 |
Trojan-Downloader.OSX.FavDonw.c | 571 | 0,40 |
AdWare.OSX.Geonei.a | 544 | 0,38 |
Trojan.OSX.Yontoo.d | 533 | 0,37 |
E qui, la mappa degli “iMalware”, sempre dello stesso periodo:
Ora se diamo un’occhiata più da vicino ai dati qui sopra, possiamo osservare che circa la metà delle individuazioni sono formate da adware, mentre due terzi del totale è rappresentato dei primi tre programmi malware. Per quanto riguarda la distribuzione geografica dei malware per Mac, è evidente che dipende dalla popolarità stessa dei prodotti Apple, dato che le rilevazioni sono maggiori nelle regioni maggiormente sviluppate, dove le potenziali vittime hanno maggior potere economico. Ci soprende però che il noto Flashback è scomparso dalla top-20.
Che cosa possiamo dedurre da questi dati?
Uno: i cyber-criminali riescono a fare soldi attraverso metodi legali (beh, quasi legali). Anche l’advertising dà i suoi frutti e se associato a infezioni su larga scala, il risultato è… molti soldi.
Due: gli scrittori di virus per OS X sono una specie rara, ma sofisticata. A differenza della situazione in cui impervia il sistema Windows, i virus hanno saltato la fase “virus per divertimento” e sono andati dritti al grano – il che è molto più grave. Sono pericolosi, ve lo dico sul serio! È probabile che questi virus writer si siano fatti le ossa sulle piattaforme Windows e che siano passati solo in un secondo momento ai Mac, alla ricerca di nuove possibilità di farsi soldi. Dopotutto, i soldi sono lì ora, i Mac sono di moda e gli utenti Mac sono piuttosto scettici quando gli si racconta che anche le piattaforme Apple possono essere attacate – da lì un sacco di opportunità per i cybercriminali, per quegl’hacker che si sentono all’altezza.
Tre: i professionisti dello spionaggio hanno preso sul serio il fatto di sfruttare il sistema OS X. Molti degli attacchi APT degli ultimi anni hanno interessato moduli Mac, per esempio Careto, Icefog e l’attacco mirato contro gli attivisti Uyghur. Stiamo parlando di attacchi concreti, ovvero attacchi mirati e non di massa, indirizzati a vittime selezionate; ecco perché non figurano della Top-20. Non per questo non significa che non siano pericolosi, specialmente se i vostri dati risultano di interesse dell’intelligence.
Ora cerchiamo di capire a livello pratico che cosa significano questi dati statistici.
Sicuramente, se comparato con la preoccupante situazione in cui impervia il sistema Windows, un centinaio di migliaia di individuazioni in 18 mesi non è poi gran cosa, e potrebbe farci credere che, in fin dei conti, non si tratta poi di una grande minaccia. Sono molte meno le minacce per Mac, ma “molte meno” non significa che gli “iUtenti” debbano rilassarsi e affidarsi unicamente al fatto che il loro compuer è un Apple! In altre parole, perché disturbarsi a installare un antivirus se si ha un Mac? Continuate a leggere e poi ne parliamo…
Per capire quindi la differenza tra un paranoico e un non paranoico uno che ha torto :), dobbiamo tornare per un momento ai dati di KSN, questa volta per considerare il livello di penetrazione della minaccia, ovvero il numero dei Mac protetti rispetto al numero delle individuazione dei malware per Mac.
Nel mese di agosto, le possibilità di portarsi a casa una “iSeccatura” erano circa del 3%. Non male se paragonato con il 21% delle infezioni che possono colpire le piattaforme Windows (basandosi sui dati KSN). Questo si potrebbe tradurre nel fatto che un iMalware potrebbe dare una sbirciatina a un compuer Mac di un utente attivo 10 volte all’anno.
Ora le cose si fanno ancora più interessanti…
Primo: gli iUtenti non solo vengono colpiti dagli iMalware. Molti malware non tengono in considerazione il tipo di sistema operativo; è il caso, per esempio, del phishing e degli attacchi man-in-the-middle, e questo accade perché sono minacce molto diffuse. Gli hacker sono soprattutto interessati agli account bancari, ai serviz web e alle attività sui social network.
Secondo: i Mac vengono attaccati anche per colpa di minacce non “apple-niane”, ovvero quelle minacce che sorgono da vulnerabilità presenti nei software terzi; per esempio, Java, Flash o Silverlight. Questi non sono programmi presenti di default sui Mac, ma molti utenti li scaricano e li installano.
Se teniamo in considerazione tutti i software terzi, è difficile dire quale sia la probabilità di venir attaccati, ma quasi sicuramente sarà maggiore se si installano molti programmi esterni.
I malware specifici per Mac non sono l’unica minaccia per i Mac: esiste anche il #phishing, i MitM e le vulnerabilità presenti nei software esterniTweet
Terzo: beh, i malware non rappresentano l’unica minaccia in circolazione. Gli antivirus hanno da tempo smesso di essere un programma in background che misteriosamente blocca oggetti pericolosi. I moderni antivirus contengono molte altre funzionalità che vanno ben oltre il canonico concetto di software, per esempio, il Parental Control, password manager, controllo delle connessioni Wi-Fi, blocco della webcam e molte altre. È vero che le funzionalità dei prodotti per Mac non sono ancora avanzate come quelle dei cugini computer, ma lentamente li stanno raggiungendo…
E ora un po’ di “futurologia”…
Sono due le questione che preoccuano la maggiro parte degli utenti da parecchio tempo: perché sono pochi i malware per Mac? Le cose sono destinate a peggiorare?
Come ho ripetuto più volte si devono verificare tre condizioni affinché un malware si interessi ad una particolare piattaforma: (i) la piattaforma deve avere un’architeturra insicura e quindi vulnerabilità; (ii) deve esere diffusa; e (iii) deve fornire strumenti per lo sviluppo di applicazioni terze. OS X non rispecchia il secondo caso (ii)
Ridete se volete, ma i dati sono i seguenti: sono 80 milioni i computer Mac in circolazione. Sono molti? Sembra di sì. Peccato che i computer windows sono 1,5 miliardi!
Su questo blog, ho già parlato di come funzionano le aziende antivirus e il settore IT… Ci sono alcune regole di base che possono essere applicate a tutti i sistemi operativi e tra questi anche il sistema OS X: non ha senso che i cyber-criminali spendano le proprie energie attaccando i sistemi meno popolari quando prima di loro ci sono decine di milioni di computer Windows (alcuni senza antivirus, la maggior parte mai aggiornati e moltissimi con un antivirus gratuito e pieno di falle). Mettiamola così: Windows dà maggiori frutti. Perché complicarsi la vita cercando di ingannare i sistemi OS X?
Quello che dovremmo fare è dare un’occhiata alla massa critica, quando e come anche questi sistemi operativi “minoritari” (minoritari solo per via della fetta del mercato che occupano) sono diventati economicamente interessanti agli occhi dei criminali. Nel passato vi avevo già menzionato il fatto che il 5-7% dei computer di tutto il mondo, in base al installed base, possa toccare la massa critica. Ma in realtà questa cifra è bassa. Quest’anno OS X ha sfiorato il 10%, nonostante non si siano verificati cambiamenti importanti nell’attività degli sviluppatori di virus.
Cercando di immaginare il futuro, in tre anni Apple potrebbe raggiunge il 15% del mercato. Che questo possa portarci ad un veloce ed improvviso sviluppo degli iMalware?
Non lo so. Un aumento brusco, forse no. Ma un aumento, è probabile. Senza dubbio. Qualcuno di voi ha qualche idee a questo proposito?
Che cosa succederà quando il mercato dei sistemi OS X raggiungerà la massa critica?
Penso che prima di tutto ci saranno epidemie con un significativo numero di vittime e perdite economiche. Poi una reazione a catena (i virus writer si copiano a vicenda, osservando come attaccare OS X sia diventato redditizio) che porterà moltissimi criminali ad attaccare in massa questa piattaforma.
Un’altra ipotesi potrebbe condurci ad una situazione in cui le cose non sono più sotto controllo per via di un attacco APT contro OS X. Un esempio: si verifica un’epidemia causata da un bug una funzione non documentata di un malware o il leakaggio della tecnologia utilizzata in un attacco; il problema si propaga nella community IT e iniziano ad apparire un sacco di cloni.
La situazione reale in cui si trova il sistema Mac è difficile da definire perché la maggior parte degli utenti Mac è tuttora completamente convinta che i loro dispositivi siano infallibili, “senza macchia e senza paura”… Per questo è praticamente impossibile sapere che succederà alle decine di milioni di Mac senza protezione. È un po’ come la parte inferiore di un iceberg, e qualche volta questa parte sommersa emerge e porta a galla interessanti sorprese (Titanic!), come il worm Flashback del marzo del 2012. Ma quali altri malware per Mac si nascondono la fuori? Che cosa succederà? Chi muove i fili delle marionette? I cybercriminali, i colletti bianchi con i loro programmatori? Sono tutte domande interessanti a cui poco a poco cercheremo di dare risposta, ma abbiamo bisogno del vostro aiuto. Non vi possiamo “salvare” forzatamente. Dovete essere voi stessi a preoccuparvi per la vostra sicurezza, o almeno cambiate il vostro atteggiamento nei confronti della protezione per Mac.
Nel frattempo, qui potete trovare alcuni semplici consigli per mantenere il vostro Mac al sicuro (articolo in inglese).
Alcuni semplici consigli per mantenere il vostro Mac al sicuro: Tweet
Per oggi è tutto sul mondo Mac, ma tenete gli occhi aperti! Ci saranno presto novità e sicuramente interessanti…
P.S.: Wow! Ho detto “presto” ma non pensavo così presto. C’è già qualche novità…
Alcuni ricercatori hanno trovato una seria vulnerabilità nel shell di Bash, problema che interessa Linux, UNIX e (indovinate?) OS X. Si sta lavorando attivamente per “patchare” il problema, ma al momento si avanza lentamente. Non bisogna dimenticare che Unix è attivo su molti sistemi di controllo industriali e reti energetiche mondiali. Qualcuno si ricorda di Blaster? In quel caso, la Microsoft lanciò una patch un mese prima della catastrofe… e non esagero quando dico “catastrofe” dato che si verificò un mega blackout che interessò tutta la zona est degli Stati Uniti.