Dopo Flashback, il trojan che è riuscito a diffondersi su oltre 600mila Mac in Usa e Canada, arriva un nuovo allarme per gli utenti Apple. La scoperta è dei laboratori Kaspersky, specializzati in software di sicurezza, che hanno individuato e studiato SabPub, un altro virus in grado di compromettere l’integrità del sistema operativo.
Secondo le prime analisi, la sua pericolosità è superiore a quella di Flashback. Il trojan è stato infatti catalogato come Apt (Advanced Persistent Threat, ndr), un acronimo usato per definire i malware che utilizzano tecniche particolarmente sofisticate (ed efficaci) per consentire al loro autore la massima libertà d’azione sulla macchina infetta. Secondo quanto riportato nel blog degli analisti Kaspersky, il virus utilizza una vulnerabilità nella Java Virtual Machine per installarsi sul computer e garantirsi una backdoor, ovvero un collegamento “nascosto” che permette all’autore del virus l’accesso al computer.
Nel corso dell’analisi, effettuata attraverso l’utilizzo di una “cavia”, gli esperti di sicurezza hanno registrato le attività del virus tenendolo sotto controllo per diverse ore. Il tipo di azioni eseguite, dalla scansione dei documenti presenti in memoria alla copia di alcuni di essi, fa pensare a un attacco condotto manualmente dall’autore del trojan. Si tratta, quindi, di una minaccia molto più seria di Flashback anche se per ora ha una diffusione ridotta e il tipo di attività registrate suggerisce si tratti di uno strumento per attacchi estremamente “mirati”. La cautela, però, in questi casi, è d’obbligo: anche il famigerato Flashback era stato individuato in largo anticipo, ovvero a settembre 2011, ma questo non ha impedito il boom di infezioni alla fine di marzo 2012.
Uno degli elementi più inquietanti riguarda però la longevità di SabPub. La prima versione, secondo l’analisi degli esperti informatici Aleks Gostev e Igor Soumenkov, sarebbe comparsa già nel febbraio di quest’anno, ma la sua individuazione è stata possibile soltanto qualche giorno fa. Un “buco nero” che sarebbe normalmente impensabile, visto che i laboratori antivirus riescono ormai a individuare i normali malware a poche ore dalla nascita.
Ci sono invece molti dubbi circa il veicolo di infezione. Una delle possibili tecniche è quella che utilizza una vulnerabilità legata alla conversione dei documenti di Word, ma tra le possibilità c’è anche l’invio di email che contengono collegamenti a due siti Web ospitati negli Stati Uniti e in Germania che conterrebbero il virus. Secondo quanto riferito Gostev, la comparsa di SabPub conferma una tendenza di crescita nei malware per computer Apple. Se fino al 2012 i laboratori Kaspersky hanno classificato poco più di 300 minacce per Mac, nei primi 3 mesi dell’anno ne sono già comparsi 70 nuove varianti. “La comparsa di questo trojan dimostra ancora una volta che non esistono ambienti software invulnerabili. Il numero relativamente basso di malware per Mac OS X non è indice di una maggiore sicurezza di questi sistemi”. Con la crescente diffusione di computer Apple, d’altra parte, la crescita di attacchi è più che prevedibile. Secondo Costin Raiu, altro analista Kaspersky, è probabile che nei prossimi mesi la situazione peggiori, sfruttando “lo scarso livello di aggiornamento dei software e la mancanza di attenzione da parte degli utenti”.