F-Secure, società specializzata nella produzione di soluzioni dedicate alla sicurezza informatica, ha individuato un malware che si spaccia per un aggiornamento di Adobe Flash Player. L'approccio imita una tattica vista lungamente nel mondo dei malware Windows, dove si tenta di disattivare il software di sicurezza. "Il tentativo di disabilitare le difese del sistema è una tattica molto comune per i malware - e le difese integrate sono naturalmente il primo obiettivo su qualsiasi piattaforma informatica", fa notare F-Secure.
Questo nuovo trojan, chiamato OSX/Flashback.C si propone come un programma di installazione di Flash Player che si connette a un computer remoto per ottenere ulteriori configurazioni e file di installazione da scaricare sul PC dell’utente. In primo luogo, Flashback.C decifra i percorsi dei file XProtectUpdater che sono rigidamente codificati nel suo corpo. Flashback.C decifra il percorso del file plist di XProtectUpdater Flashback.C.
Il malware scarica poi il demone XProtectUpdater. Infine, il malware sovrascrive i file XProtectUpdater con un "carattere": Flashback.C. L'azione sopra descritta cancella certi file, impedendo, così a XProtect di ricevere automaticamente gli aggiornamenti futuri. Se avviene l’installazione del finto aggiornamento di Flash Player, il trojan disabilita tutte le protezioni del sistema e apre l’accesso alla diffusione di successive minacce: questo malware è tale da esser in grado di bloccare gli update automatici di XProtect, il sistema di protezione di OS X.
Subito dopo il trojan resta attivo ma in background. Comportandosi come un trojan, Flashback.C attiva una connessione verso un host remoto restando in attesa di istruzioni. Se il computer esterno cerca di collegarsi con il computer utente, il trojan apre le porte del computer e permette ai malintenzionati il controllo dello stesso. L’unico consiglio valido è scaricare Flash dal sito ufficiale di Adobe o da noti e affidabili siti di download.
Nessun commento:
Posta un commento