“Doctor Web”: rilevati i primi exploit per Mac OS X Il 10 - s

“Doctor Web”: rilevati i primi exploit per Mac OS X
Il 10 febbraio 2012
La società “Doctor Web” — uno sviluppatore russo di sistemi di sicurezza informatica —
informa che sono state rilevate vulnerabilità, sfruttando le quali diventa possibile infettare
con cavalli di troia dispositivi gestiti dalla piattaforma Mac OS X. Essa è di diritto
considerata una delle più sicuri nel modo, ma i malintenzionati sono riusciti a sfruttare
certe vulnerabilità Java per diffondere minacce per questa piattaforma.
I primi malintenzionati che hanno deciso di sfruttare vulnerabilità Java per infettare computer
Mas OS X sono stati i creatori del cavallo di troia BackDoor.Flashback che si diffonde, come è
noto, mediante siti infetti. Vi ricordiamo che l’installatore di questo malware di solito si
maschera da un programma-installatore di Adobe Flash Player. All’utente di Mac OS X viene
proposto di scaricare e installare un archivio che contiene il file del nome FlashPlayer-11macos.pkg (il download non è eseguito per altri sistemi operativi). Una volta avviato,
l’installatore cerca di scaricare dal server remoto il modulo principale del trojan, e, se non ci è
riuscito, cessa la sua operazione.
Adesso i malintenzionati hanno scelto una strada diversa: all’apertura di un sito infettato, si
controlla lo user-agent del computer utente, e, se il sito è stato richiesto dalla piattaforma MasOS
con una determinata versione di browser, all’utente viene assegnata una pagina web che carica
più applet java. La pagina dimostra nella finestra del browser le parole “Loading… Please
wait…”.
Il modulo del nome rhlib.jar sfrutta la vulnerabilità CVE-2011-3544. Esso mette nella cartella
/tmp/ il file eseguibile .sysenterxx, gli dà attributi richiesti e lo avvia per esecuzione.
L’applicativo avviato controlla se nel sistema operativo sono presenti i file:
/Library/LittleSnitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
e, se non è riuscito a scoprirli, cerca di scaricare il modulo principale del cavallo di troia
BackDoor.Flashback.26. Altrimenti il loader si rimuove. Il modulo clclib.jar sfrutta la
vulnerabilità CVE-2008-5353, e ssign.jar è un dropper Java.Dropper.8 firmato con una firma
invalida: i malintenzionati sperano che l’utente aggiunga questa firma alla lista di firme affidabili
e così permetta l’esecuzione del codice.
Tali vulnerabilità possono essere pericolose per gli utenti dei computer prodotti dalla casa Apple.
La firma antivirale di questa minaccia è già stata inserita nelle basi di dati dei virus Dr.Web
Antivirus per Mac OS X.