Tratto dallo speciale:

Malware Flashback: come rimuoverlo, come difendersi

di Tullio Matteo Fanti

6 Aprile 2012 10:30

Una nuova variante del malware Flashback sfrutta una falla in Java per entrare nei sistemi Mac e sottrarre informazioni: le istruzioni F-Secure per rimuoverlo e le patch correttive per difendersi.

Il fornitore di soluzioni per la sicurezza informatica F-Secure ha identificato una variante piuttosto insidiosa del malware Flashback, in grado di aggredire i sistemi Mac travestendosi da un falso aggiornamento Adobe Flash Player passando per una vulnerabilità insita nel client Java per OS X.

Seppure le macchine aggredite dal malware siano già oltre 600.000, Apple ha rilasciato una patch in grado di arginare il problema. Per la sicurezza dei sistemi se ne consiglia quindi l’installazione immediata su Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3 e Lion Server v10.7.3.

Per quanto riguarda le macchine dotate di sistemi operativi Windows, un aggiornamento Microsoft per Java ha già tappato la falla in passato; i sistemi aggiornati di recente non corrono quindi il rischio di infezione da parte di Flashback.

La falla è situala nel client Java 1.60.0_29 e permette di eseguire codice arbitrario anche al di fuori della sandbox Java; ciò si traduce nella possibilità per la nuova versione del malware di installarsi nel sistema anche senza richiedere alcuna convalida da parte dell’utente.

Una volta preso possesso di una macchina Mac, Flashback è in grado di carpire informazioni dal sistema e di inviare i dati ad un server remoto, ponendo così le basi per una sottrazione indebita di dati, che nel caso di macchine collegate alla rete aziendale, possono essere particolarmente sensibili. Nonostante l’ampio spettro di macchine infette, ben il 57% dei sistemi compromessi sembrano comunque risiedere – secondo F-Secure – all’interno degli Stati Uniti, relegando la percentuale di pericolo per l’Italia ad un contenuto 0,3%.

Nell’eventuale impossibilità di compiere immediatamente l’aggiornamento rilasciato da Apple, è consigliabile disabilitare il motore Java delle macchine potenzialmente vulnerabili. Se la vulnerabilità fosse già stata scoperta dal malware, F-Secure suggerisce le seguenti istruzioni per rimuovere Flashback:

  1. lanciare la seguente riga di comando “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
  2. Annotare i codici DYLD_INSERT_LIBRARIES e cliccare su invio
  3. Nel caso si riceva un messaggio tipo “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” allora il pc è integro
  4. Se il malware viene trovato, invece, bisogna scrivere “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ”
  5. Annotarsi il valore che compare accanto a “__ldpath__”
  6. A questo punto eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”
  7. Cancellare i file trovati nel punto 2 e 5
  8. Ora eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES”
  9. Se si riceve un messaggio tipo “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso.
  10. In caso contrario bisogna eseguire di nuovo il comando “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “
  11. Prendere nota dei valori ottenuti
  12. Eseguire i comandi “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES”  e “launchctl unsetenv DYLD_INSERT_LIBRARIES”
  13. Ora cancellare i file indicati nei punti precedenti.