Dopo gli ultimi attacchi di infezioni come Flashback ai danni delle piattaforme Apple, un nuovo malware si rivolge ai sistemi OS X per estorcere denaro alle vittime accusandoli di accedere a contenuti coperti da copyright o pedopornografici. Il ransomware in genere afferma che l'utente ha infranto la legge e utilizza nomi della legge (come la CIA o FBI) per spaventare le vittime, ma di solito è rivolto a utenti Windows, non agli utenti Mac.
Il ransomware è un malware che limita l'accesso al computer che infetta, richiedendo all'utente il pagamento di un riscatto per la reintegrazione della funzionalità del PC. L'accesso è limitato da cifratura o attraverso il blocco del sistema. La società di sicurezza Malwarebytes ha individuato per prima questa ultima minaccia, notando che i criminali hanno portato il regime del ransomware su OS X e stanno anche sfruttando una funzione di Safari specifica.
La pagina di ransomware in questione viene mostrata a ignari utenti che visitano siti ad alto traffico, così come dalla ricerca di parole chiave popolari. Molto simile al virus che per mesi ha attaccato Windows con il messaggio da parte della Polizia Postale e Guardia di Finanza, anche OS X è stato vittima di un nuovo attacco, stavolta da parte dell'FBI. Tramite codice javascript in Safari, un gruppo di criminali informatici sono riusciti a dirottare sul sito dell'FBI la loro pagina che recita un messaggio simile a questo:
"State visualizzando o distribuendo divieto dal contenuto pornografico (foto pornografiche di bambini, ecc. sono stati trovati sul computer) ... Per sbloccare il computer e per evitare altre conseguenze legali, si è obbligati a pagare una tassa di rilascio di 300 dollari". Non è possibile ignorare il messaggio o tentare di chiudere la pagina perchè più prompt cercheranno di mantenere l'utente lì. Facendo clic sul pulsante "Lascia Pagina" non funziona e nemmeno il tentativo di "forzare l'uscita" del browser.
Questo perché la stessa pagina ransomware verrà caricata all'avvio di Safari ancora una volta dato che il malware in questione sfrutta funzionalità del browser "ripristino da crash", che carica l'ultimo URL visitato prima di uscire in modo imprevisto. Un rapido sguardo alla barra degli indirizzi mostra un interessante URL: fbi.gov.id657546456-3999456674.k8381.com, i cracker stanno chiaramente cercando di ingannare gli utenti. Il "ciclo infinito" (che in realtà non è) è reso possibile da 150 iframe creati dinamicamente.
Tuttavia c'è un modo per sbarazzarsi del malware (senza cliccare sul prompt 150 volte) e, soprattutto, senza pagare il riscatto di 300 dollari. E' sufficiente fare clic sul menu delle impostazioni di Safari e scegliere "Ripristina Safari". Dunque assicurarsi che tutti gli elementi del menu sono contrassegnati e premere il pulsante di ripristino. Gli esperti di Malwarebytes hanno messo insieme un video su YouTube per spiegare come rimuovere la minaccia.
Tuttavia c'è un modo per sbarazzarsi del malware (senza cliccare sul prompt 150 volte) e, soprattutto, senza pagare il riscatto di 300 dollari. E' sufficiente fare clic sul menu delle impostazioni di Safari e scegliere "Ripristina Safari". Dunque assicurarsi che tutti gli elementi del menu sono contrassegnati e premere il pulsante di ripristino. Gli esperti di Malwarebytes hanno messo insieme un video su YouTube per spiegare come rimuovere la minaccia.
Via: Malwarebytes
Nessun commento:
Posta un commento