OS X è uno dei sistemi operativi più sicuri al mondo, sono stati sviluppati pochissimi tipi di malware per il sistema operativo Apple. Nonostante ciò, ogni tanto appare un nuovo malware che minaccia i possessori di Mac e oggi vi parlo di una nuova versione di un malware chiamato Imuler. Questa nuova minaccia è nascosto in file che inizialmente sembrano semplici immagini ma in realtà sono file infetti che potrebbero causare non pochi problemi. Il malware è nascosto negli archivi pubblicati sotto i nomi Immagini e articolo di Renzin Dorjee.zip si FHM Feb Cover Girl Irina Shayk H-Res Pics.zip e il metodo di infezione si basa sul fatto che OS X non visualizza le estensioni dei file o le miniature delle immagini, quindi l'utente vi accede per vederle.
Il malware installa una backdoor in /tmp/.mdworker, insieme ad altri file in questa directory. Viene quindi avviato un processo chiamato .mdworker; il processo mdworker (non l'assenza del . prima del nome) è un processo utilizzato da Spotlight per indicizzare i file.Un file launchagent è installato anche in ~/library/LaunchAgents/checkvir.plist, insieme a un eseguibile nella stessa cartella, assicurando che il malware venga avviato quando l'utente accede al proprio Mac o lo avvia. Dopo il riavvio, il processo .mdworker viene eliminato e viene avviato l'eseguibile checkvir, un malware che cerca i dati dell'utente e tenta di caricarli su un server. Prende anche screenshot e li invia al server. Crea un identificatore univoco per il Mac specifico per poter collegare il Mac e i dati che raccoglie. Abbiamo visto che questo malware è attivo poiché si connette a un server remoto e scarica nuovi eseguibili.
Dopo l'accesso, il malware apre un processo, chiamato .mdworker, in Mac e al riavvio aprire un file precedentemente copiato ~/library/LaunchAgents/checkvir.plist. Se sei stato infettato da questo malware, le informazioni raccolte dall'intero sistema operativo più gli screenshot dello schermo del Mac verranno inviati dal tuo Mac ai server degli hacker, in modo che gli hacker possano scoprire tutto ciò che fai senza troppi sforzi. Per proteggerti, assicurati di aver attivato l'opzione per visualizzare le estensioni dei file in Finder>Preferenze>Mostra tutte le estensioni dei file.
