Sebbene Mac OS X sia riconosciuto come uno dei sistemi operativi in cui gli utenti non devono preoccuparsi dei virus, è il malware che si sta facendo strada sulla piattaforma Apple. Rappresentanti delle aziende F-Secure e Sophos Hanno scoperto un nuovo tipo di malware chiamato generico Contagocce trojan che tenta di rubare le informazioni personali degli utenti. Il trojan si maschera da file PDF che visualizza un testo scritto in cinese e che, una volta aperto, scarica da Internet un programma backdoor che mantiene il Mac "aperto" all'hacker e consente di inviargli informazioni.
Questo downloader Trojan rappresenta la fase iniziale dell'attacco ed è un programma che, una volta eseguito, installerà un'utilità backdoor chiamata "BackDoor:OSX/Imuler.A" sul sistema. Il downloader scaricherà e aprirà continuamente anche un documento PDF cinese (appropriatamente chiamato "trojan.pdf") che contiene dichiarazioni politiche offensive, che apparentemente sono un tentativo di distrarre l'utente e mascherare l'installazione del malware backdoor. Quando la backdoor viene installata, imposterà un agente di lancio sul sistema che viene utilizzato per mantenere continuamente attivo il malware sul sistema. Si connetterà quindi a un server remoto e invierà il nome utente e l'indirizzo MAC correnti del sistema al server, dopodiché il server gli ordinerà di archiviare i file e caricarli, oppure di acquisire screenshot e caricarli sul server.
Dopo aver installato la backdoor, l'hacker può archiviare e caricare file dal tuo Mac o catturare screenshot di tutte le schermate che apri, avendo praticamente accesso a informazioni personali "sensibili". Naturalmente, questo Trojan deve prima essere eseguito da un utente con accesso amministratore, altrimenti non funzionerà, quindi sei al sicuro finché non esegui applicazioni sconosciute sul tuo Mac. La cosa ironica è che questo tipo di malware funziona con l'ausilio di un file PDF, proprio come le soluzioni di jailbreak, e questo dimostra quanto Apple debba ancora lavorare nel campo della sicurezza per questo tipo di documenti.
La cosa buona è che il Trojan non è costruito correttamente e funziona in modo irregolare, e quelli di F-Secure sostengono che ora potrebbe essere in fase di test, ma in futuro potrebbe diventare molto più potente. Il mio consiglio è di non installare nulla di sconosciuto sul vostro Mac e se all'improvviso si apre un file in cui vedete dei caratteri cinesi, allora accedete alla cartella /nome utente/Libreria/LaunchAgents/ da Mac ed eliminare il file/cartella denominata checkvir dopo aver chiuso il processo da Activity Monitor.
