Il ransomware, una tipologia di malware molto diffuso su Windows, è ora giunto a minacciare anche gli utenti di Mac OS X. Vediamo di cosa si tratta, come identificarlo e come rimuoverlo.
Gli utenti di Mac OS X che utilizzano il popolare client torrent Transmission sono diventati recentemente potenziali vittime di un nuovo ransomware, specificato progettato per Mac OS X, che viene veicolato da una versione infetta del suddetto programma.
Ignoti criminali hanno infatti compromesso l’installer della versione v2.90 di Transmission presente sul sito dello sviluppatore il 4 marzo 2016, al fine di infettare le macchine sulle quali viene installato con un ransomware che i ricercatori di Palo Alto Research hanno denominato “KeRanger”.Le versioni v2.90 scaricate prima e dopo il 4 marzo non dovrebbero essere affette dal problema (ma è meglio non fidarsi troppo, secondo me).
Il risultato dell’esposizione al predetto malware è che dopo tre giorni dalla prima esecuzione del programma infetto, tutti file presenti sul disco rigido del Mac, nonché su eventuali altri supporti di memoria connessi in quel momento al Mac vengono criptati e per ricevere la chiave di decriptazione (sempre ammesso che poi i criminali la mandino veramente, cosa che non è affatto certa) viene richiesto il pagamento di un bitcoin (una criptovaiuta il cui valore si aggira intorno ai 400 dollari USA).
Secondo i ricercatori, il malware tenterebbe di criptare anche gli eventuali backup di Time Machine presenti sui dischi ai quale riesce ad accedere.
Un messaggio presente sul sito internet di Transmission avverte gli utenti del problema, invitandoli ad aggiornare immediatamente alla versione v2.92, che contiene un codice che provvede automaticamente ad identificare i file ed i processi responsabili dell’infezione, rimuovendoli.
L’attacco è stato reso possibile perché la versione “malevola” del programma Transmission è stata firmata con certificato per sviluppatori di applicazioni per Mac OS X valido, ma illecitamente ottenuto dagli ignoti criminali; questo ha consentito all’applicazione infetta di superare i controlli di protezione di Gatekeeper di Mac OS X (ovviamente Apple ha già provveduto a revocare il certificato in questione e ad inserirlo nella blacklist di XProtect, il rudimentale antivirus presente in Mac OS X).
Inoltre, come detto, la versione infetta di Transmission – quella del 4 marzo 2016 – è stata anche immediatamente rimossa dal sito dello sviluppatore.
Le modalità con le quali il pacchetto di Transmission sia stato infettato sono per ora avvolte nel mistero; un’ipotesi verosimile, formulata dai ricercatori, è che in qualche modo si sia riusciti a compromettere il sito dello sviluppatore, sfruttando una qualche vulnerabilità del server o del CMS che sottende al sito, al fine di iniettare una versione modificata dell’applicazione.
Questa parrebbe dunque essere la prima volta che l’utenza di Mac OS X è afflitta da un ransomware, che è invece una tipologia di malware già da tempo tristemente nota agli utilizzatori di Windows.
Identificazione e rimozione manuale del malware
(io ho il sistema operativo in inglese, quindi le indicazioni relative ad applicazioni e comandi sono in tale lingua – cercate le relative corrispondenze, se il vostro sistema operativo è in italiano)
Ad oggi, alcuni prodotti antivirali per Mac OS X sono già stati aggiornati per identificare e rimuovere KeRanger, ma è possibile farlo anche manualmente.Vediamo come.
Innanzitutto, per capire se si è stati infettati da KeRanger, è necessario aprire l’applicazione Activity Monitor (Monitor Attività), presente su ogni Mac, e verificare, con Transmission v2.90 in esecuzione, l’esistenza del processo denominato:
kernel_service
Se il suddetto processo è presente ed in esecuzione, fate un doppio click su di esso per vedere maggiori informazioni, selezionate il pannello denominato “Open Files and Ports” e cercate il file:
/Users//Library/kernel_service
Se questo file esiste, avete trovato il processo principale di KeRanger. Terminatelo dunque con il comando:
Quit > Force Quit
Una volta terminato il processo, bisogna procedere nella pulizia del sistema. Utilizzate dunque Spotlight per verificare se nella directory ~/Library del vostro sistema sono presenti I seguenti file:
.kernel_pid
.kernel_time
.kernel_complete
.kernel_service
Se vedete qualcuno di questi file (o anche tutti), cancellateli senza pietà.
Verificate inoltre se sono per caso ancora presenti nel sistema delle versioni infette di Transmission, in quanto la procedura di aggiornamento alla versione v.2.92 potrebbe non averle eliminate.
Aprite dunque il Terminale e digitate i seguenti comandi, ciascuno seguito dalla pressione del tasto “invio”:
ls /Applications/Transmission.app/Contents/Resources/General.rtf
ls /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Se il terminale vi restituisce i dettagli dei permessi di questi file, o anche solo per uno di essi, avete nel sistema una versione infetta di Transmission: cancellate quindi per sicurezza tutte le copie presenti e scaricate una versione sicuramente non infetta (la v2.92, come detto).
Un piccolo aggiornamento:
Gli sviluppatori di Transmission hanno fatto sapere che le copie infette dell’applicazione, nella versione v2.90, scaricate prima che ci si rendesse conto della compromissione del sito e che quindi si rimuovesse la versione infetta sono state, in totale, 6.500 e, come già riferito, si tratta esclusivamente di download effettuati nella giornata del 4 marzo 2016.
Anche se non si ha installata una versione della v2.90 infetta, si raccomanda comunque di aggiornare alla v2.92, in quanto tale versione contiene anche il codice che provvedere a rimuovere i file pertinenti all’eventuale infezione.