Un nuovo malware, scoperto su Windows, ha trovato una nuova casa in macOS. Il malware si spaccia da Installer di Adobe Flash Player. Il malware si nasconde dentro le cartelle del computer e diventa difficile da individuare. Avendo utilizzato un certificato valido per sviluppatori, il malware può circolare libero dentro il computer indisturbato.

Questo malware è conosciuto come Snake, e le sue quasi infinite varianti, sono in giro da un decennio ormai. Dal 2008 Snake continua ad essere presente sui computer con sistema operativo Windows. La variante per Linux del malware è arrivata nel 2014. Alcuni esperti descrivono il malware come “relativamente complesso” utilizzando una ricerca dell’agenzia per la sicurezza informatica svizzera. È difficile che tu riceva questo malware in maniera random come avviene con altri malware, ma il modo in cui si nasconde all’interno del computer è importante da individuare.

Il file Snake è nascosto all’interno di un file .zip con il nome Adobe Flash Player.app.zip. Questo file contiene una versione autentica di Adobe Flash Player ma con una falla. L’applicazione inizialmente sembra autentica perchè il file .zip corrisponde ai certificati spediti tramite Apple. Guardando meglio i file, si scopre che il certificato non proviene da Adobe ma da Addy Symonds. Anche la struttura interna del file non corrisponde a quella originale del file di Adobe.

Se l’utente procede lo stesso all’installazione il malware installa una copia di Adobe Flash Player ma nel frattempo vengono aggiunti i file maligni al sistema macOS e vengono mantenuti all’interno.

Come scoprire se si è stati infettati

Per sapere facilmente se all’interno del mac è presente il malware, bisogna prima utilizzare uno dei seguenti antivirus aggiornati (disponibili anche gratis):

fare uno scan del sistema operativo. Il software gratuito cercherà Snake nel sistema con il file OSX.Snake e lo rimuoverà. Rimuoverlo manualmente è decisamente più tecnico: bisogna cercarlo manualmente e si troverà nelle seguenti cartelle:

  • /Library/Scripts/queue
  • /Library/Scripts/installdp
  • /Library/Scripts/installd.sh
  • /Library/LaunchDaemons/com.adobe.update.plist
  • /var/tmp/.ur-*
  • /tmp/.gdm-socket
  • /tmp/.gdm-selinux

Se sei stato infettato è meglio cambiare subito tutte le password e contattare il dipartimento IT della tua azienda. Solitamente un malware viene trasmesso tramite phishing via email ma queste nuove tecniche su Mac possono essere ancora più pericolose.

Lascia un commento