Malware on Melabit

Attenti ad HandBrake!

Tue, 09 May 2017 19:00:00 +0000

Più che un post questa è una vera e propria comunicazione di servizio.

Gli sviluppatori di HandBrake, quello che è probabilmente il miglior convertitore video per il Mac (e non solo), si sono accorti che uno dei loro server è stato compromesso e che le copie di HandBrake scaricate fra il 2 e il 6 maggio potrebbero contenere un cavallo di Troia (trojan horse), cioè un codice maligno capace ad esempio di intercettare quello che si scrive con la tastiera o, nei casi estremi, persino di prendere il controllo del Mac.

Controllare HandBrake

Chi avesse scaricato ed installato HandBrake nei giorni critici deve controllare che che in Monitoraggio attività non compaia il processo activity_agent e che il checksum del file HandBrake-1.0.7.dmg non corrisponda a quelli riportati qui.

Ricordo che il programma Monitoraggio Attività si trova nella cartella Applicazioni > Utility, mentre per calcolare il checksum del file HandBrake-1.0.7.dmg (che supponiamo sia nella cartella Downloads) basta lanciare il Terminale (si trova anch’esso in Applicazioni > Utility) ed eseguire i comandi

$ cd Downloads
$ shasum -a 1 HandBrake-1.0.7.dmg &#038;&#038; shasum -a 256 HandBrake-1.0.7.dmg

L’esecuzione del comando shasum su una copia legittima di HandBrake produce in risposta

6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9  HandBrake-1.0.7.dmg
3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2  HandBrake-1.0.7.dmg

mentre le copie maligne di HandBrake riportano dei valori completamente diversi.

Rimuovere HandBrake

Per rimuovere la versione corrotta di HandBrake insieme al suo trojan, bisogna eseguire dal Terminale i comandi seguenti (esattamente come sono scritti!):

$ launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
$ rm -rf ~/Library/RenderFiles/activity_agent.app

Inoltre, se il comando

$ ls -al ~/Library/VideoFrameworks/

riporta l’esistenza di un file proton.zip, bisogna rimuovere anche questo file insieme alla cartella che lo contiene con

$ rm -rf ~/Library/VideoFrameworks/

Fatto questo si può rimuovere HandBrake dal Mac trascinando l’icona dell’applicazione nel cestino oppure usando un programma di disinstallazione come AppCleaner o simili.

È opportuno anche riavviare il Mac, in modo da essere sicuri di rimuovere il programma activity_agent dalla memoria.

Infine, per maggiore sicurezza gli sviluppatori di HandBrake consigliano anche di modificare tutte le password salvate nel Portachiavi del Mac o nel browser. E questa è veramente una bella, grossa, seccatura!

Purtroppo sembra non ci sia più nessun freno (nemmeno a mano) a questa ondata di malware per il Mac.

iWorm, malware e pirati

Mon, 06 Oct 2014 06:00:00 +0000

Negli ultimi giorni si è sparsa la notizia che migliaia di Mac sono infetti da un nuovo malware, o più esattamente da un nuovo botnet, denominato Mac.BackDoor.iWorm.

Il botnet – una forma particolare di malware che crea una rete di computer infetti e controllati in remoto – è stato scoperto da Doctor Web, una società russa che produce un ottimo software antivirus per Windows e che si sta espandendo verso i nuovi mercati costituiti da Android e OS X. Dr. Web propone, in modo piuttosto discreto in verità, di usare il proprio software antivirus per proteggersi da questa minaccia per OS X, nonché da tutti gli altri (pochi) virus e malware esistenti per OS X.

Può essere una soluzione, in fondo l’antivirus costa poco e Dr. Web è una società seria ed affidabile. Ma serve veramente?

Leggendo i dettagli tecnici del funzionamento del botnet è chiaro che la chiave di tutto sta nel fatto che il malware riesce a creare la cartella (o meglio la directory) /Library/Application Support/JavaW, in cui viene salvato l’eseguibile e i componenti accessori del malware, e ad aggiungere un suo file plist in /Library/LaunchDaemons/, permettendogli di essere lanciato automaticamente all’avvio del sistema.

C’è qualcosa che non funziona…

Ma prima di affrontare questo aspetto, invito chi legge a controllare se sul proprio sistema è presente la directory /Library/Application Support/JavaW. Da Terminale basta eseguire i comandi seguenti

$ cd /Library/Application Support/
$ ls -al

verificando che la lista prodotta dal comando ls non contenga la directory JavaW, come è molto probabile.

In alternativa, come descritto in dettaglio su The Safe Mac, si può selezionare dal Finder la voce di menu Vai > Vai alla Cartella... (⇧+⌘+G) ed incollare il percorso /Library/Application Support/JavaW nella casella di testo che compare. Se il sistema risponde con un suono di avvertimento, significa che la directory non esiste e che il proprio sistema non è infetto.

Una volta accertato che il nostro sistema non è infetto, torniamo ad occuparci del punto vero della questione.

Come è possibile che un virus, un trojan, un malware, possa creare la directory JavaW in /Library/Application Support/ e un file di configurazione in /Library/LaunchDaemons/, se queste sono directory in cui è consentito scrivere solo a root, il superutente, l’amministratore supremo ed onnipotente di ogni sistema basato su Unix?

$ ls -ald /Library/Application\ Support/
drwxr-xr-x  19 root  admin  646 May 17T10:27:00 /Library/Application Support/
$
$ ls -ald /Library/LaunchDaemons/
drwxr-xr-x  12 root  wheel  408 Sep 19T14:04:00 /Library/LaunchDaemons/

I permessi delle sue directory ce lo dicono chiaramente. In entrambi i casi il permesso di scrittura w è associato solo a root, mentre gli utenti del gruppo admin nonché tutti gli altri utenti possono solo leggere (r) o eseguire (x) il contenuto delle due directory in questione.

Questo meccanismo contribuisce alla maggiore sicurezza dei sistemi Unix rispetto al solito Windows: le directory che contengono il sistema operativo sono accessibili in scrittura solo dagli utenti che (teoricamente) sanno come gestire il sistema e come mantenerlo sicuro, ad esempio utilizzando fra l’altro una password seria, difficilmente craccabile e tenuta il più riservata possibile.

E allora come fa il malware ad installarsi tramite la rete su migliaia di computer, superando la barriera rappresentata dalla conoscenza della password dell’amministratore del sistema? Possibile che gli sviluppatori abbiano trovato il modo di superare uno strato così basilare di sicurezza dei sistemi Unix?

La risposta è venuta fuori ieri, ed è la cosa più ovvia e più prosaica possibile.

Alcune copie pirata di software commerciale sono state infettate dal malware e vengono distribuite in rete attraverso i soliti canali illegali. Installando sul proprio Mac il software pirata si installa senza saperlo anche il malware.

Il tutto funziona perché al momento dell’installazione di un pacchetto software su OS X viene richiesta la password dell’amministratore del sistema – in genere il primo utente creato al momento dell’installazione di OS X – che diventa temporaneamente equivalente al superutente root. Ma aver concesso al programma di installazione, seppur temporaneamente, i privilegi dell’utente root consente di attribuire gli stessi privilegi anche al programma di installazione del malware, che supera le barriere di sicurezza del sistema operativo e si scava una bella cuccia comoda nelle due directory protette del sistema.

Una nuova falla di sicurezza di OS X (o di Linux) dopo la recente scoperta della vulnerabilità di bash?

Nemmeno per sogno, semmai una grave, gravissima, falla di sicurezza nei cervelli di certi utenti.

Ma come si fa, mi chiedo, a scaricare di tutto da Internet, ad installarlo senza controlli sul proprio Mac, e a meravigliarsi se succedono queste cose e se il proprio sistema diventa infetto ed è preferibile reinstallarlo da zero?

Non sono un santo, capisco benissimo che si possa essere tentati di usare del software più o meno illegale, ma una cosa è usare dei prodotti ufficiali con numeri di serie illeciti, un’altra è scaricare software craccato, e quindi modificato rispetto alle copie legali. Chi può garantire che chi ha effettuato il crack si sia limitato ad aggirare il codice relativo alla licenza del software e non abbia aggiunto anche un trojan, una backdoor, un worm (come in questo caso) o chissà che altra porcheria?

E in ogni caso, dovendo scegliere fra un prodotto illegale ed uno open source con funzionalità analoghe (anche se ridotte), personalmente preferirei sempre e comunque la seconda alternativa. A quanti serve veramente una copia craccata di Photoshop quando GIMP può fare tutto o quasi quello che fa Photoshop?