Apple aggiorna le definizioni dei malware per proteggersi dalle minacce botnet coordinate tramite Reddit

La scorsa settimana, l'azienda russa di antivirus Doctor Web divulgato un pezzo di malware OS X appena scoperto noto come Mac.BackDoor.iWorm che all'epoca aveva colpito circa 17.000 macchine in tutto il mondo. Sebbene l'esatto meccanismo dell'infezione non fosse chiaro, un'interessante svolta nella storia riguarda le macchine compromesse che eseguono query di ricerca su Reddit per ottenere istruzioni su quali server di comando e controllo dovrebbero essere utilizzati per gestire la botnet.

Vale la pena ricordare che per acquisire un elenco di indirizzi del server di controllo, il bot utilizza il servizio di ricerca su reddit.com e, come query di ricerca, specifica i valori esadecimali dei primi 8 byte dell'hash MD5 dell'attuale Data. La ricerca reddit.com restituisce una pagina Web contenente un elenco di server e porte C&C botnet pubblicati dai criminali nei commenti ai post minecraftserverlists sotto l'account vtnhiaovyd.

Una volta connesso a un server di comando e controllo, la backdoor aperta dal malware sul sistema dell'utente può ricevere istruzioni per eseguire una serie di attività, dal furto di informazioni sensibili alla ricezione o diffusione di malware aggiuntivo.

Nel tentativo di affrontare la minaccia, Apple ha ora aggiornato il suo sistema anti-malware 'Xprotect' per riconoscere due diverse varianti del malware iWorm e impedire che vengano installate sui computer degli utenti.

Introdotto per la prima volta con OS X Snow Leopard, Xprotect è un rudimentale sistema anti-malware che riconosce e avvisa gli utenti della presenza di vari tipi di malware. Data la relativa rarità del malware che prende di mira OS X, le definizioni del malware vengono aggiornate di rado, sebbene i computer degli utenti controllino automaticamente la presenza di aggiornamenti su base giornaliera. Occasionalmente, Apple utilizza anche il sistema Xprotect per imporre requisiti minimi di versione per plug-in come Flash Player e Java, costringendo gli utenti a eseguire l'aggiornamento da versioni precedenti note per comportare rischi significativi per la sicurezza.