Gli hackers dietro l’operazione LockBit avvenuta pochi mesi fa hanno sviluppato nuovi modi in grado di crittografare i file sui dispositivi che eseguono il sistema operativo macOS di Apple.
Lo sviluppo, che è stato segnalato dal MalwareHunterTeam durante il fine settimana, sembra aver creato il primo precedente nella storia, nessuno era mai riuscito a creare un payload basato su macOS.
Ulteriori campioni identificati da vx-underground mostrano che la variante macOS è disponibile dall’11 novembre 2022 e fino ad ora è riuscita a eludere il rilevamento da parte dei motori anti-malware.
LockBit è un prolifico gruppo di criminali informatici con legami con la Russia che è attivo dalla fine del 2019, e hanno rilasciato due importanti aggiornamenti nel 2021 e nel 2022.
Secondo le statistiche pubblicate da Malwarebytes la scorsa settimana, LockBit è emerso come il secondo ransomware più utilizzato nel marzo 2023 dopo Cl0p, con 93 attacchi riusciti.
Non bisogna stare tranquilli
Un’analisi della nuova versione di macOS locker_Apple_M1_64 rivela che le protezioni Gatekeeper di Apple ne impediranno l’esecuzione anche se viene scaricata e avviata su un dispositivo.
Il payload, secondo il ricercatore di sicurezza Patrick Wardle, racchiude file come autorun.inf e ntuser.dat.log, suggerendo che il campione di ransomware era stato originariamente progettato per colpire Windows.
“Anche se sì, può davvero funzionare su Apple Silicon, questa è fondamentalmente l’entità del suo impatto“, ha affermato Wardle. “Quindi gli utenti macOS non hanno nulla di cui preoccuparsi, per ora!”
Wardle ha anche sottolineato ulteriori misure di sicurezza implementate da Apple, come il System Integrity Protection (SIP) e Transparency, Consent and Control (TCC) che impediscono l’esecuzione di codice non autorizzato e richiedono alle app di chiedere il permesso degli utenti per accedere a file e dati protetti.
“Ciò significa che senza un exploit o un’esplicita approvazione dell’utente i file degli utenti rimarranno protetti“, ha sottolineato Wardle. “Ancora un ulteriore livello o rilevamento/protezione può essere giustificato.”