ROMA – Dopo Flashback, il trojan che รจ riuscito a diffondersi su oltre 600mila Mac in Usa e Canada, arriva un nuovo virus che attacca gli Apple: si chiama SabPub, attacca il sistema operativo copiando i file in memoria. E’ stato scoperto dai laboratori Kaspersky, specializzati in software di sicurezza, e si trasmetterebbe tramite due siti, uno americano e l’altro tedesco, il cui link viene mandato per mail.
Secondo le prime analisi, la sua pericolositร รจ superiore a quella di Flashback. Il trojan รจ stato infatti catalogato come Apt (Advanced Persistent Threat, ndr), un acronimo usato per definire i malware che utilizzano tecniche particolarmente sofisticate (ed efficaci) per consentire al loro autore la massima libertร dโazione sulla macchina infetta. Secondo quanto riportato nel blog degli analisti Kaspersky, il virus utilizza una vulnerabilitร nella Java Virtual Machine per installarsi sul computer e garantirsi una backdoor, ovvero un collegamento โnascostoโ che permette allโautore del virus lโaccesso al computer.
Nel corso dellโanalisi, effettuata attraverso lโutilizzo di una โcaviaโ, gli esperti di sicurezza hanno registrato le attivitร del virus tenendolo sotto controllo per diverse ore. Il tipo di azioni eseguite, dalla scansione dei documenti presenti in memoria alla copia di alcuni di essi, fa pensare a un attacco condotto manualmente dallโautore del trojan. Si tratta, quindi, di una minaccia molto piรน seria di Flashback anche se per ora ha una diffusione ridotta e il tipo di attivitร registrate suggerisce si tratti di uno strumento per attacchi estremamente โmiratiโ. La cautela, perรฒ, in questi casi, รจ dโobbligo: anche il famigerato Flashback era stato individuato in largo anticipo, ovvero a settembre 2011, ma questo non ha impedito il boom di infezioni alla fine di marzo 2012.
Uno degli elementi piรน inquietanti riguarda perรฒ la longevitร di SabPub. La prima versione, secondo lโanalisi degli esperti informatici Aleks Gostev e Igor Soumenkov, sarebbe comparsa giร nel febbraio di questโanno, ma la sua individuazione รจ stata possibile soltanto qualche giorno fa. Un โbuco neroโ che sarebbe normalmente impensabile, visto che i laboratori antivirus riescono ormai a individuare i normali malware a poche ore dalla nascita.
Ci sono invece molti dubbi circa il veicolo di infezione. Una delle possibili tecniche รจ quella che utilizza una vulnerabilitร legata alla conversione dei documenti di Word, ma tra le possibilitร cโรจ anche lโinvio di email che contengono collegamenti a due siti Web ospitati negli Stati Uniti e in Germania che conterrebbero il virus.