Un malware Java attacca Snow Leopard e OS precedenti

Fortunatamente per noi, gli scenari apocalittici paventati dai quotidiani –soprattutto alcuni– a causa di DNS Changer si sono rivelati per quel che erano: una seccatura passeggera di cui ci siamo già dimenticati. E altrettanto è destinato ad accadere per un nuovo malware basato su Java che però, almeno per quanto ci riguarda, attacca solo OS X 10.6 e versioni precedenti.

L’allarme l’hanno dato quelli di F-Secure con una relazione ad hoc, stilata dopo un iniziale avvistamento su un sito di trasporti colombiano. La minaccia funziona su Windows, Linux e su tutti i computer Apple con Java installato, ma in quest’ultimo caso si rende necessaria anche Rosetta, l’emulatore software di Cupertino che consente di eseguire il codice scritto per Power PC sui più moderni Mac con processori x86 Intel:

Il file JAR controlla se la macchina Java dell’utente sta girando in Windows, Mac o Linux e poi scarica i file appropriati per ogni piattaforma. Tutti e tre i file per le tre differenti piattaforme si comportano allo stesso modo. Si connettono tutti all’IP 186.87.69.249 per ottenere codice aggiuntivo da eseguire. Le porte utilizzate sono la 8080, la 8081 e la 8082 rispettivamente per OSX, Linux e Windows. […]
Il binario di OS X è compilato per processori PowerPC, e per questo motivo viene eseguito su piattaforme Intel solo se è disponibile Rosetta.

Ma poiché Rosetta non esiste più da Lion in poi, e su Snow Leopard va installata manualmente, il problema già di per sé riguarda un numero estremamente esiguo di computer; e ciò è ancor più vero se consideriamo che Mountain Lion alle porte. Inoltre, perché la propagazione del malware vada in porto, è necessario non soltanto visitare fonti infette, ma anche accordare all’applet Java il beneficio dell’installazione: al primo tentativo, infatti, OS X avviserà che il suo certificato non è valido.

Una volta data l’autorizzazione (nonostante tutti gli avvisi), il malware tenterà di aprire una backdoor con la quale gli hacker possono prendere il controllo remoto della macchina.

Ovviamente, certe cose è meglio saperle per tempo, così da evitare scivoloni storici come quello del Trojan Flashback e dei 700.000 Mac infettati. Un pericoloso precedente che ha costretto Apple a ridimensionare tutta la propria strategia di marketing riguardo la sicurezza. Ma da qui a lanciare allarmi da DEFCON 1, ce ne passa; anzi, a dirla tutta, noialtri restiamo dell’avviso che un antivirus, su OS X, sia ancora largamente inutile.