Partiamo da un concetto banale, se vogliamo: la criminalità, e il cyber crime non fa differenza, va dove c’è più denaro. Questo è il principale motivo, del resto, per cui buona parte delle minacce digitali sono dedicate all’ambiente Windows.
Gli esperti si dividono tra chi lo considera di fatto l’unico motivo, e chi adduce ad altre criticità. Questo, tuttavia, è il principale e a confermarlo, del resto, ci sono i numeri: il market share di Windows, tra tutti i sistemi operativi, inclusi quelli mobile, è di circa il 32%, mentre MacOS si ferma al 6,74% e Linux lo 0,94%. Tralasciando le considerazioni soggettive, di preferenza, l’ambiente MacOS rappresenta ancora una nicchia e se ci si concentra nel settore desktop vediamo che è sorpassato perfino da Chrome OS (10,5% contro 7,5%, stando a un rapporto di IDC).
Indice degli argomenti
Le minacce crescono col successo
Chiaro dunque che, in proporzione, il cyber crime punti a sistemi basati su Windows. Questi numeri hanno garantito ai sistemi desktop di Apple una certa immunità da buona parte delle minacce digitali, ma la loro crescente diffusione ha ingolosito alcuni attori del lato oscuro del mondo digitale. D’altra parte, oggi esistono tool e linguaggi di programmazione che consentono di sviluppare applicazioni malevole per piattaforme diverse senza troppi sforzi.
Tra la fine del 2020 e gli inizi del 2021, per esempio, si è diffusa una campagna di furti di chiavi di wallet digitali che puntava a sistemi Windows, Linux e MacOS. Niente di nuovo dal punto di vista tattico, i furti di portafogli virtuali di cripto-valute sono all’ordine del giorno, ma ciò che la caratterizzava era l’utilizzo di un Remote Access Tool (RAT) piuttosto particolare. Il suo nome era ElectroRAT e si trattava di un software scritto interamente in Go, il noto linguaggio di programmazione open source sviluppato da Google, e declinato su tutti e tre i principali sistemi operativi.
ElectroRAT: un esempio sintomatico
In buona sostanza, ElectroRAT era proposto come un programma di gestione di crypto-monete, configurandosi dunque come trojan, e veniva data all’utente la possibilità di scaricare la versione adatta al proprio sistema. E dare così avvio alle sue funzionalità malevoli, collegandosi ad alcune pagine pastebin ed estraendo da queste gli indirizzi IP per il Command & Control (C&C).
In fase di analisi si è notato, tra l’altro, che questi indirizzi IP sostengono anche il funzionamento di altri due trojan piuttosto diffusi, vale a dire Amadey e KPOT. ElectroRAT, a differenza di questi, non è un software acquistato sul Dark Web ma realizzato da zero. Questo gli ha permesso di lavorare sottotraccia per mesi e passare inosservato dagli antivirus, perché appare a tutti gli effetti come un software legittimo su tutte le piattaforme in cui è utilizzato. MacOS compreso, dove il trojan mostra le medesime funzionalità delle altre versioni.
Abbattere i bias per una maggiore sicurezza
L’aspetto da sottolineare, innanzitutto, è proprio questo: ci sono casi nei quali un malware non mostra alcuna differenza tra una piattaforma o l’altra e solo un forte bias nei confronti di quella preferita può minimizzarne la pericolosità.
Nel caso di MacOS, per esempio, c’è uno storico di dati e statistiche che potrebbero farlo sembrare più sicuro, ma come spiegato si tratta di una considerazione che lascia il tempo che trova nel momento in cui il sistema operativo di Apple sta conoscendo una crescente diffusione. In altri casi ci si rifà alle soluzioni tecnologiche, sostenendo che quelle dedicate alla sicurezza siano più solide nel sistema operativo Apple.
Anche in questo caso, tuttavia, vale un po’ lo stesso ragionamento. Più il mercato MacOS diventa appetibile e maggiori sono le risorse che hacker black hat e cyber-criminali dedicano all’analisi e alla ricerca di exploit.
UpdateAgent: una minaccia in evoluzione
L’ultimo esempio, in questo senso, si ha con la recente scoperta della “mutazione” di UpdateAgent, un malware che bazzica nel settore dal 2020 e che si è progressivamente trasformato in una minaccia degna di considerazione, specie perché è su Mac e basa il suo funzionamento su un paio di espedienti per nulla trascurabili.
Il principale riguarda Gatekeeper, cioè la tecnologia di Apple dedicata al controllo della legittimità delle app su MacOS. In buona sostanza, Gatekeeper è quella tecnologia che si occupa di verificare che un software sia firmato da Apple o da uno sviluppatore da questa certificato. UpdateAgent è in grado di bypassare questo tipo di controllo, configurandosi dunque agli occhi del sistema operativo come un software legittimo.
Ciò che colpisce, più di tutto, è che questa funzionalità non rientrava nella dotazione iniziale di UpdateAgent: è stata introdotta in una fase successiva, nel corso dell’evoluzione del malware nell’ultimo anno.
Dall’adware a funzionalità avanzate
UpdateAgent, come detto, è stato rilevato nel settembre del 2020, destando tutto sommato poca preoccupazione. All’epoca, infatti, si trattava di un malware di bassa caratura, di fatto un “information stealer”. Ciò che tuttavia era chiaro, era che UpdateAgent mostrava un’ottima propensione all’espandibilità. In pochi mesi, infatti, il malware è passato da un software in grado di raccogliere informazioni di sistema, e spedirle a un servire con meccanismo C&C, a uno in grado di scaricare payload da infrastrutture cloud, in formato ZIP o DMG, effettuare il bypass di Gatekeeper, modificare file PLIST e forza un account a eseguire comandi.
Nel mezzo, passaggi intermedi che hanno portato quello che poteva essere ascritto a tool di supporto agli adware a essere un vero e proprio trojan difficile da intercettare. Al momento, questo trojan è ancora utilizzato per forzare la gestione di pubblicità, ma la sua analisi dimostra che se ne possono sfruttare le caratteristiche, senza alcuna modifica, per veicolare payload (ben più) malevoli.
Questo per via sia delle sue caratteristiche intrinseche, sia per la capacità di scaricare da infrastrutture esterne anche AdLoad, come payload secondario. Si tratta di uno strumento utilizzato, in ambito Mac, proprio per inserire pubblicità nei sistemi colpiti, ma che può allo stesso modo veicolare a sua volta payload malevoli.
Liberare la mente dai preconcetti
Questa architettura tecnologica, già di per sé estremamente pericolosa ma prona a continue espansioni, mostra come un malware passato quasi in secondo piano rappresenti, oggi, una minaccia per sistemi MacOS del tutto paragonabile a quelle Windows.
Per funzionalità, per struttura, per finalità e possibili utilizzi. Questo ribalta forse i fattori in gioco quando si parla di sicurezza nei diversi sistemi operativi? No, perché il punto è un altro: liberare la mente da qualsivoglia preconcetto e applicare una filosofia “zero trust” non solo quando si parla di controllo degli accessi ma, più in generale, a ogni considerazione che va fatta in materia di sicurezza digitale.
Non si tratta di fare la conta del numero di minacce presenti in Windows, Mac o Linux, e vedere chi vionce, ma partire dal presupposto che una singola minaccia, in un sistema operativo che si ritiene erroneamente “più sicuro”, può causare molti più danni di una moltitudine di malware sparati addosso a un sistema che si ritiene più vulnerabile e che, proprio per questo motivo, è più protetto e controllato.
Si può scegliere una piattaforma per svariati motivi, insomma, ma farlo perché la si considera, a prescindere, più sicura, è il modo migliore per porsi in uan situazione di svantaggio nei confronti dei cyber criminali.