OSX.RSPlug.A, un trojan per il Mac OS X

di Alessandro Vinciarelli

Pubblicato 7 Novembre 2007
Aggiornato 12 Febbraio 2018 20:50

Ogni tanto qualche allarme malware anche per sistemi operativi non Windows. In questo caso purtroppo parliamo di Mac Os X e di un nuovo malware che sembra attaccare con successo questi sistemi.

Il protagonista di questa vicenda è stato battezzato “OSX.RSPlug.A Malware” ed è stato individuato da Intego che ha dedicato all’interno del suo sito una pagina con tutte le informazioni dettagliate del malware che è stato considerato critico e la cui categoria è stata definita come Trojan Horse.

Il meccanismo di diffusione utilizza il più classico dei metodi, ovvero induce il navigatore a scaricare del software per ottenere particolari funzionalità. Nella fattispecie il sito non affidabile è un sito di contenuti pornografici.

Quando il navigatore seleziona il link per vedere un video di carattere pornografico il sito mostra un avviso che recita (più o meno):

La versione di quicktime non è in grado di mostrare il video. È necessario eseguire il download del codec aggiornato.

Di seguito ovviamente vengono mostrate le istruzioni per la “corretta istallazione”.

Se il navigatore segue i consigli del sito, il gioco è fatto e il malware è istallato sul vostro PC pronto a danneggiarvi, mentre nessun codec verrà istallato.

Come ulteriore prova del pericolo in cui si incorre cedendo a questa tentazione, Intego dichiara che il trojan è in grado, utilizzando una tecnica discretamente sofisticata, di agire sulle tabelle DNS presente nel nostro sistema operativo modificando il comportamento del nostro browser per alcuni indirizzi Web. In altre parole digitando l’indirizzo di alcuni siti molto famosi, come E-bay o PayPal, il trojan indurrà il browser ad indirizzarci su particolari indirizzi truffaldini, nei quali è presente un sito di phishing anziché il sito a cui volevamo accedere.

Se non bastasse aggiungiamo che il trojan istalla anche una routine crontab grazie alla quale ogni minuto controlla se il meccanismo di modifica dei DNS di cui abbiamo parlato poco sopra è ancora in funzione.

Tra l’altro ripetendo differenti volte il download si è notato che esistono differenti versioni del trojan in grado di adattarsi meglio ad alcune zone specifiche “offrendo” siti e url malevoli più aderenti alla regione dal quale viene effettuata la richiesta di indirizzamento.