Bitdefender, specializzato nello sviluppo di soluzioni di sicurezza dedicate sia a privati che a professionisti, avverte della scoperta di malware che prende di mira principalmente i computer Mac di Apple.
Il malware, chiamato Xagent, proviene dal gruppo di criminali informatici Fancy Bear e Sofacy facente parte del programma APT28. Già noto per essere stato utilizzato in diverse campagne di cyberspionaggio per attaccare sistemi Windows, Linux, iOS e Android.
APT28 per Advanced Persistent Threat è un programma di minaccia che è stato distribuito durante le elezioni presidenziali statunitensi. In particolare ha permesso di effettuare il phishing e di recuperare dati riservati (migliaia di e-mail e file) da John Podesta, il consulente della campagna di Hillary Clinton.
Il malware in questione si basa su un vecchio strumento chiamato Komplex scoperto nel 2016, ma leggermente rivisto. L'attacco è di tipo "spear phishing", ovvero phishing che incita il target ad aprire un file infetto per distribuire il malware all'interno del sistema. Una volta installato, il malware comunica con un server remoto e avvia il recupero dei dati.
L'infezione avviene tramite il downloader di Komplex, un trojan per Mac già noto da tempo, che si diffonde tramite l'apertura di PDF allegati alle email.
Dal Finder, selezionate in alto il menu “Vai”, e poi “Vai alla cartella”, quindi copiate e incollate una alla volta i seguenti percorsi (sostituite $USER con il vostro nome utente):
/Users/$USER/Library/LaunchAgents/com.apple.updates.plist
/Users/Shared/.local/kextd
/Users/Shared/start.sh
Se il Finder non riesce a trovare questi file il vostro Mac è salvo, altrimenti potrebbe essere infettato: spostate i file incriminati nel cestino, svuotatelo e riavviate il computer. Ovviamente la prevenzione rimane sempre la miglior arma contro tali attacchi informatici.