È passato esattamente un mese dalla comparsa di KeRanger, il primo ransomware per Macintosh. Cos’è successo esattamente e cosa significa per gli utenti Mac?
KeRanger si è diffuso mascherandosi come aggiornamento del programma Transmission, un diffuso client della rete BitTorrent. Da molto tempo non era aggiornato e quando l’autore ha eseguito un update i pirati si sono intromessi, predisponendo sul server dello sviluppatore la versione che conteneva il virus. Notate che Transmission non è disponibile sull’Apple Store, ma va scaricato direttamente. Sull’Apple Store sarebbe stato impossibile effettuare queste effrazioni, per cui il rischio è già limitato ai programmi distribuiti diversamente.
Fortunatamente i pirati erano un po’ pasticcioni. Il sistema di auto aggiornamento del programma riconosceva infatti che qualcosa di storto c’era nel file di aggiornamento e ne impediva l’installazione. L’unica maniera per riuscire a prendersi questo virus era scaricare l’applicazione completa dal server, saltando la procedura automatica.
Questo vuol dire che gli utenti che già utilizzavano Transmission contando sugli automatismi erano al sicuro dall’infezione. Sono stati quindi solo 6.500 i download completi della versione pericolosa, secondo i dati rilasciati dallo sviluppatore all’agenzia Reuters. Di questi 6.500 potenziali ransomware, a quanto ne sappiamo oggi, nemmeno uno è entrato in funzione. Il virus, si direbbe, è stato un flop.
KeRanger infatti si basava sul codice scritto per un altro programma maligno pensato per Linux, chiamato Linux.Encoder, apparso sulla scena nel novembre scorso e che prendeva di mira i server basati sul sistema operativo Open Source. Primo sbaglio: il virus entrava in funzione e codificava i dati, al fine di chiedere un riscatto, dopo tre giorni dell’installazione. Un intervallo sufficiente perché lo sviluppatore di Transmission rilasciasse un aggiornamento in grado di individuare e rimuovere il virus, e sufficiente perché i sistemi antivirus Mac (gratuiti e commerciali) fossero aggiornati. Secondo sbaglio: il codice Linux.Encoder conteneva grossolani errori che impedivano il “rapimento” dei file attraverso la codifica.
Apparentemente KeRanger non ha fatto nessuna vittima, almeno nota, ma lascia perplessi che un pirata sia stato in grado di alterare un certificato digitale, intrufolarsi e modificare i file presenti sul server dello sviluppatore solo per distribuire un programma ransomware notoriamente bacato.
Se da un lato la reazione dell’ecosistema Apple è stata velocissima, questo non toglie che il vettore dell’infezione esista e che, imparando dai propri errori, la prossima volta il pirata potrebbe essere un po’ meno pasticcione.