ROMA – Dopo Flashback, il trojan che è riuscito a diffondersi su oltre 600mila Mac in Usa e Canada, arriva un nuovo virus che attacca gli Apple: si chiama SabPub, attacca il sistema operativo copiando i file in memoria. E’ stato scoperto dai laboratori Kaspersky, specializzati in software di sicurezza, e si trasmetterebbe tramite due siti, uno americano e l’altro tedesco, il cui link viene mandato per mail.
Secondo le prime analisi, la sua pericolosità è superiore a quella di Flashback. Il trojan è stato infatti catalogato come Apt (Advanced Persistent Threat, ndr), un acronimo usato per definire i malware che utilizzano tecniche particolarmente sofisticate (ed efficaci) per consentire al loro autore la massima libertà d’azione sulla macchina infetta. Secondo quanto riportato nel blog degli analisti Kaspersky, il virus utilizza una vulnerabilità nella Java Virtual Machine per installarsi sul computer e garantirsi una backdoor, ovvero un collegamento “nascosto” che permette all’autore del virus l’accesso al computer.
Nel corso dell’analisi, effettuata attraverso l’utilizzo di una “cavia”, gli esperti di sicurezza hanno registrato le attività del virus tenendolo sotto controllo per diverse ore. Il tipo di azioni eseguite, dalla scansione dei documenti presenti in memoria alla copia di alcuni di essi, fa pensare a un attacco condotto manualmente dall’autore del trojan. Si tratta, quindi, di una minaccia molto più seria di Flashback anche se per ora ha una diffusione ridotta e il tipo di attività registrate suggerisce si tratti di uno strumento per attacchi estremamente “mirati”. La cautela, però, in questi casi, è d’obbligo: anche il famigerato Flashback era stato individuato in largo anticipo, ovvero a settembre 2011, ma questo non ha impedito il boom di infezioni alla fine di marzo 2012.
Uno degli elementi più inquietanti riguarda però la longevità di SabPub. La prima versione, secondo l’analisi degli esperti informatici Aleks Gostev e Igor Soumenkov, sarebbe comparsa già nel febbraio di quest’anno, ma la sua individuazione è stata possibile soltanto qualche giorno fa. Un “buco nero” che sarebbe normalmente impensabile, visto che i laboratori antivirus riescono ormai a individuare i normali malware a poche ore dalla nascita.
Ci sono invece molti dubbi circa il veicolo di infezione. Una delle possibili tecniche è quella che utilizza una vulnerabilità legata alla conversione dei documenti di Word, ma tra le possibilità c’è anche l’invio di email che contengono collegamenti a due siti Web ospitati negli Stati Uniti e in Germania che conterrebbero il virus.