Mac Flashback malware: che cos'è e come sbarazzarsi di esso (FAQ)

La piattaforma Mac di Apple è stata a lungo promossa come più sicura della concorrenza, ma con la crescita delle vendite e delle quote di mercato dei Mac, è diventato un obiettivo più ambizioso.

In nessun posto è più chiaro che con il Trojan Flashback, un grosso malware progettato per rubare informazioni personali mascherandosi come plug-in del browser molto mainstream. Ieri l'azienda antivirus russa Dr. Web ha affermato che circa 600.000 Mac sono stati infettati a causa dell'installazione inconsapevole del software da parte degli utenti.

Ecco quindi una rapida FAQ sul Trojan Flashback, che include informazioni su cosa è, come sapere se l'hai e quali misure puoi adottare per sbarazzartene.

Cos'è esattamente il flashback?

Flashback è una forma di malware progettato per catturare password e altre informazioni dagli utenti attraverso il loro browser Web e altre applicazioni come Skype. Un utente in genere lo scambia per un plug-in del browser legittimo mentre visita un sito Web dannoso. A quel punto, il software installa il codice progettato per raccogliere informazioni personali e inviarlo ai server remoti. Nelle sue più recenti incarnazioni, il software può installarsi senza l'interazione dell'utente.

Quando è apparso per la prima volta?

Il flashback come lo conosciamo ora è apparso verso la fine di settembre dello scorso anno, fingendo di essere un programma di installazione per Adobe Flash, un plug-in ampiamente utilizzato per lo streaming di video e applicazioni interattive che Apple non spedisce più sui suoi computer. Il malware si è evoluto per raggiungere il runtime Java su OS X, dove gli utenti che visitavano siti dannosi avrebbero quindi richiesto di installarlo sul proprio computer per visualizzare il contenuto Web. Versioni più avanzate si installerebbero tranquillamente in background senza bisogno di password.

Come ha contagiato così tanti computer?

La semplice risposta è che il software è stato progettato per fare esattamente questo. Nella sua incarnazione iniziale, il malware sembrava molto simile al programma di installazione di Adobe Flash. Non è stato di aiuto il fatto che Apple non abbia spedito Flash sui suoi computer per oltre un anno, probabilmente creando un pool di utenti con maggiori probabilità di eseguire il programma di installazione per visualizzare i siti Web più popolari che vengono eseguiti su Flash. Nelle sue varianti più recenti relative a Java, il software può installarsi senza che l'utente debba fare clic su nulla o fornire una password.

Ciò che non ha aiutato è il modo in cui Apple si occupa di Java. Invece di utilizzare semplicemente l'attuale versione pubblica di Java, l'azienda crea e mantiene le proprie versioni. A quanto pare, i produttori di malware hanno sfruttato una particolare vulnerabilità che Oracle ha patchato a febbraio. Fino a aprile Apple non ha risolto il problema con la sua versione di Java.

Cosa ha fatto Apple al riguardo?

Apple ha il proprio scanner di malware integrato in OS X chiamato XProtect. Dal momento del lancio di Flashback, lo strumento di sicurezza è stato aggiornato due volte per identificare e proteggere da una manciata di varianti di Flashback.

Una versione più recente del malware, tuttavia, ha aggirato XProtect eseguendo i suoi file tramite Java. Apple ha chiuso il punto di ingresso principale del malware con un aggiornamento Java il 3 aprile e da allora ha rilasciato uno strumento di rimozione come parte di un successivo aggiornamento Java.

Da notare che le correzioni per la sicurezza Java sono disponibili solo su Mac OS X 10.6.8 e versioni successive, quindi se utilizzi OS X 10.5 o versioni precedenti, sarai comunque vulnerabile. Apple ha smesso di fornire aggiornamenti software per questi sistemi operativi.

Come faccio a sapere se ce l'ho?

In questo momento, il modo più semplice per sapere se il tuo computer è stato infettato è rivolgersi alla società di sicurezza F-Secure e scaricare il suo software di rilevamento e rimozione Flashback. Segui le istruzioni qui su come ottenerlo e usarlo. La società di sicurezza Symantec offre il proprio strumento autonomo con marchio Norton, che puoi ottenere qui.

In alternativa, puoi eseguire un trio di comandi in Terminal, un software che troverai nella cartella Utility nella cartella Applicazioni del tuo Mac. Se vuoi trovarlo senza scavare, fai una ricerca Spotlight per "Terminale".

Una volta lì, copia e incolla ciascuna delle stringhe di codice sotto nella finestra del terminale. Il comando verrà eseguito automaticamente:

le impostazioni predefinite leggono /Applications/Safari.app/Contents/Info LSEnvironment

le impostazioni predefinite leggono /Applications/Firefox.app/Contents/Info LSEnvironment

i valori di default leggono ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

Se il tuo sistema è pulito, i comandi ti diranno che quelle coppie dominio / default "non esistono". Se sei infetto, sputerà la patch dove il malware si è installato sul tuo sistema.

Uh oh, ce l'ho. Come lo rimuovo?

Utilizzando uno degli strumenti sopra menzionati, F-Secure o Norton si sbarazzeranno automaticamente del malware dal tuo computer senza ulteriori passaggi. Se sei, per qualche motivo, diffidente nell'usare uno di questi strumenti di terze parti, Topher Kessler di CNET fornisce una guida passo-passo su come rimuovere Flashback dal tuo Mac. Questo processo richiede anche l'esecuzione di un salto nel terminale e l'esecuzione di tali comandi, quindi il rintracciamento dei file infetti e la relativa eliminazione manuale.

Per buona misura, è anche una buona idea cambiare le password online presso istituti finanziari e altri servizi di sicurezza che potresti avere usato mentre il tuo computer è stato compromesso. Non è chiaro se questi dati siano stati presi di mira, registrati e inviati come parte dell'attacco, ma è un comportamento preventivo intelligente che vale la pena fare regolarmente.

Storie correlate

  • La rimozione del malware Flashback di Apple ora è disponibile
  • Flashback è la più grande minaccia di malware per Mac ancora, dicono gli esperti
  • Più di 600.000 Mac infettati con botnet Flashback
  • Aggiornamento Java per patch OS X exploit malware Flashback
  • ZDNet: la nuova epidemia di malware Mac sfrutta le debolezze dell'ecosistema Apple

Quindi ora che le correzioni sono qui, sono al sicuro?

In una parola, no. Gli autori di Flashback si sono già mostrati inclini a continuare a modificare il malware per aggirare le nuove correzioni di sicurezza.

Il consiglio di CNET è principalmente quello di scaricare qualsiasi software solo da fonti attendibili. Ciò include i siti di produttori di software noti e affidabili, oltre a repository protetti come Download.com di CNET. Inoltre, come ulteriore regola empirica, è una buona idea mantenere i componenti aggiuntivi di terze parti il ​​più aggiornati possibile in modo da essere sempre aggiornati sugli aggiornamenti di sicurezza. Se vuoi rimanere ancora più sicuro, stai lontano da Java e da altri componenti aggiuntivi del sistema, a meno che non siano necessari per un software affidabile o un servizio Web.

Il blogger di CNET Topher Kessler e l'editore senior di CNET Seth Rosenblatt hanno contribuito a questo rapporto.

Aggiornato alle 13:40 PT del 5 aprile con le istruzioni aggiornate sulla rimozione. Aggiornato il 6 aprile alle 7:44 PT con informazioni su un secondo aggiornamento da Apple e alle 13:55 PT con informazioni sull'utilità di rilevamento basata sul Web di Dr. Web. Aggiornato il 9 aprile alle 12.30 PT con conferma indipendente che il modulo di Dr. Web è sicuro da usare per le persone. Aggiornato ancora una volta alle 16:00 PT del 12 aprile per prendere nota del rilascio e dei dettagli dello strumento di rimozione di Apple.

Messaggi Popolari

Cos'è l'ampia gamma di colori (WCG)?

Tre modi per spostarsi a sinistra sul commutatore di attività

Andare a mani libere con Moto X e i nuovi smartphone Droid

Questo consiglio di cucina può far risparmiare denaro sulla tua bolletta

Accedi alla musica memorizzata su OneDrive utilizzando Xbox Music

5 trucchi di spedizione Amazon per le persone che non possono permettersi Prime

 

Lascia Il Tuo Commento