Il MacBook Air, il MacBook Pro e il Mac mini presentati nel novembre 2020 hanno rappresentato un grande cambiamento per Apple. Alimentati dal system on a chip (SoC) M1 dell’azienda, i nuovi dispositivi hanno segnato l’inizio di un processo di transizione di due anni dall’architettura basata su Intel ai processori Apple, noti come Apple Silicon. Solo pochi mesi dopo, i ricercatori di sicurezza informatica hanno scoperto il primo malware in grado di funzionare in modo nativo sui SoC M1. Cosa comporta la transizione ad Apple Silicon per la sicurezza del Mac e come si prevede che evolverà il panorama delle minacce per Mac? In questo articolo prenderemo in esame gli ultimi tipi di malware per Mac – Silver Sparrow, Pirrit e XCSSET – nonché le minacce più ampie alla sicurezza del Mac.
Funzionalità di sicurezza di Apple Silicon
La storia di Apple Silicon inizia con il primo iPhone dell’azienda, uscito nel 2010. Da allora Apple ha continuato a sviluppare i propri chipset personalizzati basati su architettura ARM per i suoi dispositivi mobili, indossabili e per smart home. Tuttavia, i computer MacBook e iMac sono alimentati da processori Intel basati su architettura CPU x86 dal 2005, anno in cui l’azienda ha abbandonato i processori PowerPC di IBM. Ora, con l’adozione di Apple Silicon per la gamma Mac, Apple punta a rafforzare il suo ecosistema creando un’architettura comune per tutte le linee di prodotti Apple.
I chipset basati su ARM di Apple sono noti per la sicurezza e crittografia superiori, rese possibili dal coprocessore Secure Enclave. Secure Enclave è stato introdotto per la prima volta nel processore Apple A7, quando Apple ha rivoluzionato il campo dei dispositivi mobili introducendo il Touch ID sull’iPhone 5S. Il coprocessore Secure Enclave include un gestore di chiavi basato sull’hardware, separato dal processore principale e capace di preservare la sicurezza delle operazioni di crittografia anche se il kernel del dispositivo è compromesso. Insieme al motore di crittografia AES-256, protegge le informazioni sensibili, come i dati biometrici.
Il nuovo chip octa-core M1 di Apple include la versione più recente di Secure Enclave, la crittografia AES-256 e un avvio sicuro verificato dall’hardware, che si accerta che il software caricato durante l’avvio contenga solo codice approvato da Apple. Come spiega Apple: “Il chip Apple M1 è progettato per verificare che la versione del software macOS caricata durante l’avvio sia autorizzata da Apple e continua a proteggere in background le autorizzazioni stabilite per macOS durante l’esecuzione”.
Come accade per qualsiasi nuova ed entusiasmante tecnologia, il nuovo chip M1 che alimenta gli ultimi Mac ha suscitato l’interesse degli sviluppatori: se gli sviluppatori di app autorizzati si sono affrettati a rendere le proprie app compatibili con i nuovi MacBook, lo stesso hanno fatto gli sviluppatori di malware. Anche se l’architettura ARM non è popolare quanto l’architettura x86, ci sono voluti solo pochi mesi prima che comparissero i primi malware nativi M1: Silver Sparrow e Pirrit. Il mito che i computer Apple siano sicuri per natura è stato messo in discussione molte volte e la facilità con cui tipi di malware per Mac sono stati adattati per la nuova architettura è solo un’altra prova che anche i Mac hanno bisogno di protezione aggiuntiva.
Malware nativi di Apple M1
Silver Sparrow
Scoperto dai ricercatori di Red Canary nel febbraio del 2021, Silver Sparrow è un tipo di malware particolare perché non possiede un vero e proprio payload, il che significa che non ha una funzionalità. Finora, tutti i 40.000 Mac infettati non sono stati colpiti da componenti aggiuntivi attivati dopo aver scaricato Silver Sparrow. I binari inviati erano semplici “bystander” (“passanti”), come li definisce il team di ricerca di Red Canary. Questo ha indotto alcuni ricercatori di sicurezza informatica a considerare Silver Sparrow come un semplice proof of concept che si è diffuso in un gran numero di dispositivi. Tuttavia, ciò non significa che non rappresenti una minaccia per la sicurezza dei Mac.
“Anche se Silver Sparrow sembra essere ancora nelle prime fasi di sviluppo e di attività, il fatto che possa scaricare ed eseguire qualsiasi binario con un approccio furtivo solleva preoccupazioni relative alla sicurezza, ma aiuta anche a comprendere gli scopi dei cyber-criminali: potrebbero utilizzare questo metodo per far evolvere ulteriormente Silver Sparrow, trasformandolo in una minaccia più seria, o per scaricare altre famiglie di malware, sfruttando quindi Silver Sparrow come canale di distribuzione noleggiabile per altri file dannosi,” afferma Bogdan Anghelache di Avira Protection Labs.
Secondo gli Avira Protection Labs, esistono due versioni di questa famiglia di malware: una sviluppata solo per l’architettura Intel x86_64 (riconoscibile dalla stringa IOC agent_updater) e una realizzata sia per le architetture Intel x86_64 che Apple M1 ARM (riconoscibile dalla stringa IOC verx_updater).
Pirrit
Pirrit è un adware che viene distribuito come software di utilità dal 2016. Mascherato da video player o lettore PDF, Pirrit è riuscito a infettare dispositivi macOS e Windows. Ha la capacità di rendersi persistente, il che significa che può essere eseguito in background, creando un LaunchDaemon e fingendosi un’applicazione Apple legittima.
Pirrit viene utilizzato per spiare le attività del browser degli utenti e per inserire annunci pubblicitari nel browser. Dopo essere stato installato, solitamente scansiona le estensioni installate in Safari e le rimuove. Nell’ambito delle sue attività di spionaggio e iniezione di annunci, OSX Pirrit si è evoluto passando dal download e dall’installazione di iniezioni dannose nei browser alla modifica delle proprietà interne di diversi browser installati, come Firefox e Chrome. Inoltre, cambia il motore di ricerca predefinito del browser sostituendolo con “tika-search.com” o “delta-search.com”. OSX Pirrit utilizza un binario appositamente creato ed eseguito in background allo scopo di assumere il controllo del browser colpito e monitorare l’attività dell’utente. In base a tale attività (link visitati, query di ricerca), questo componente dannoso inserisce annunci nella pagina web o apre nuove schede con annunci specifici.
XCSSET
Gli sviluppatori Apple utilizzano Xcode, l’ambiente di sviluppo integrato di Apple, per scrivere codice per le app MacOS. L’anno scorso, i ricercatori di sicurezza informatica hanno trovato malware in progetti Xcode, e adesso questo malware si è fatto strada anche nei Mac basati su M1. Conosciuto come XCSSET, il malware che prende di mira gli sviluppatori Mac può dirottare Safari, iniettando codice JavaScript dannoso nei siti web, oltre a rubare e crittografare i file dell’utente.
Dato che i progetti Xcode infetti sono modificati per eseguire un codice dannoso, XCSSET colpisce non solo il computer della vittima, ma anche tutti gli altri utenti a cui gli sviluppatori distribuiscono il loro progetto. Visto il gran numero di sviluppatori che collaborano su piattaforme come GitHub, il malware può diffondersi facilmente e generare attacchi alla supply chain.
Come si prevede che evolverà il panorama delle minacce per Mac?
Apple ha appena iniziato la transizione verso i processori ARM per Mac, e le architetture Intel x86 e ARM coesisteranno per molto tempo. Attualmente l’architettura x86 di Intel domina di gran lunga il mercato, di conseguenza il volume di malware che prende di mira i dispositivi x86 è molto più alto. Tuttavia, l’interesse dei criminali informatici per l’architettura ARM aumenterà di pari passo con l’interesse del pubblico. Silver Sparrow, Pirrit e XCSSET sono solo le prime di numerose minacce che prenderanno di mira i Mac basati su ARM, mettendo a repentaglio la sicurezza dei Mac.
Per gli utenti finali, è importante essere consapevoli di tutti i pericoli in agguato online, dai diversi tipi di virus e malware al phishing e agli elaborati attacchi di ingegneria sociale. Con una buona conoscenza delle minacce informatiche e gli strumenti adeguati per proteggere i propri dispositivi e dati, il rischio di cadere preda di criminali informatici è ridotto. Se volete una protezione aggiuntiva, date un’occhiata ad Avira Free Security per MacOS.
