Le ricerche sulla sicurezza hanno scoperto un nuovo malware che prende di mira gli utenti macOS ed elude gli strumenti antivirus più diffusi.
"CrescentCore" è distribuito come pacchetto DMG mascherato da Adobe Flash Player. Ora può essere trovato su più siti Web, uno dei quali è "un risultato di ricerca di Google di alto livello", secondo Intego.
C'è stato un tempo in cui gli utenti Mac potevano vantarsi del fatto che le loro macchine fossero immuni ai virus. Ma poiché il sistema operativo di Apple è diventato sempre più popolare, è diventato un obiettivo più grande per i creatori di malware.
Il nuovo malware progettato per macOS ora sta spuntando continuamente. L'ultimo è particolarmente degno di nota per il modo in cui tenta di eludere il popolare software di sicurezza ed evitare la rimozione.
Attenzione ai download falsi di Flash Player
Come la maggior parte dei download di malware, CrescentCore si fa strada su un Mac tramite siti Web "imprecisi". I visitatori sono in genere portati a credere di ottenere qualcosa gratuitamente: un sito promette fumetti gratuiti.
Gli utenti vengono quindi reindirizzati attraverso più siti prima di essere indotti a scaricare quello che si dice sia un aggiornamento Flash. È quando tentano di installare l'aggiornamento che il malware diventa interessante.
La prima cosa che CrescentCore farà prima dell'installazione sarà identificare se è in esecuzione all'interno di una macchina virtuale (VM). Le macchine virtuali vengono utilizzate dai ricercatori per esaminare e decodificare il malware senza infettare il resto delle loro macchine. Se viene rilevata una macchina virtuale, CrescentCore non verrà installato.
Successivamente, CrescentCore determinerà se gli strumenti antivirus sono in esecuzione. Sembra che il suo creatore preferirebbe che non fosse utilizzato affatto piuttosto che essere identificato dal software di sicurezza, quindi se vengono utilizzati strumenti antivirus, smetterà di funzionare.
Cosa fa CrescentCore?
Supponendo che tu non stia utilizzando una macchina virtuale e che non sia in esecuzione alcun software antivirus, CrescentCore procederà con l'installazione di un "LaunchAgent". Intego descrive questo come un'infezione persistente, ma non è completamente chiaro cosa faccia.
Esiste una seconda variante di CrescentCore che può installare software canaglia soprannominato "Advanced Mac Cleaner" o un'estensione Safari dannosa. Questo potrebbe essere usato per tenere traccia di ciò che stai facendo online e persino per registrare dati sensibili.
Come evitare CrescentCore
Garantire che il tuo Mac non sia infettato da CrescentCore è facile come evitare siti Web poco raccomandabili. Non scaricare nulla da siti di cui non ti fidi, specialmente quelli che offrono contenuti che violano il copyright.
Potresti anche voler evitare di installare qualcosa che assomigli a Flash Player. Come osserva Intego, "nessuno dovrebbe installare Flash Player nel 2019, nemmeno quello vero e legittimo".
Flash Player si sta estinguendo da anni e pochissimi siti fanno ancora affidamento su di esso. Non è una necessità desktop come una volta. Inoltre, molti download di malware vengono in genere mascherati da aggiornamenti Flash.
E se sei già infetto?
Se hai già buone abitudini di navigazione, la probabilità che il tuo Mac venga infettato da CrescentCore è già incredibilmente ridotta. Ma se sei preoccupato, installa semplicemente un'app antivirus affidabile e scansiona il tuo computer alla ricerca di infezioni.
Il VirusBarrier X9 di Intego può ovviamente identificare CrescentCore ed eliminarlo. Ma se non sei un utente esistente, puoi scaricare il suo VirusBarrier Scanner gratuito e usa quello invece.