Una nuova variante del malware per macOS, nota come ZuRu, sta colpendo gli utenti Apple attraverso applicazioni popolari utilizzate per il controllo da remoto dei dispositivi e della gestione di server. A lanciare l’allarme sono stati i ricercatori di sicurezza informatica. Scoperto per la prima volta nel 2021, ZuRu si è evoluto nel tempo e adesso è in grado di infettare un numero ancora più grande di applicazioni, secondo la società di sicurezza informatica SentinelOne. Ma la variante più recente funziona esclusivamente su Mac con sistema operativo Sonoma 14.1, rilasciato da Apple nell’ottobre 2023, o Sequoia, l’ultimo sistema operativo dell’azienda di Cupertino. In precedenza, ZuRu era stato individuato in copie sia pirata sia genuine di strumenti utilizzati da sviluppatori e professionisti It, come SecureCrt, Navicat e Microsoft Remote Desktop per Mac. Di recente, il malware è stato rilevato in una versione “Trojan” (cioè in grado di far attaccare il sistema anche da altri virus) di Termius, un’applicazione per la gestione di server remoti e connessioni di rete sicure.
«Questo nuovo malware utilizza un nuovo metodo per “trojanizzare” applicazioni genuine», hanno scritto Phil Stokes e Dinesh Devadoss, ricercatori di SentinelOne. La versione compromessa di Termius consente ai malintenzionati di controllare a distanza i Mac infetti e, attraverso uno strumento di hacking open-source, eseguono comandi (senza ovviamente il consenso dell’utente) e raccolgono informazioni, spiegano i ricercatori. Una volta installato, gli hacker sono in grado di trasferire file da o verso il computer della vittima e di eseguire o controllare programmi sul Mac infetto. I criminali informatici sembrano essere passati da metodi più semplici a un’incorporazione del malware in applicazioni ausiliarie, probabilmente per eludere le moderne misure di rilevamento della sicurezza.
ZuRu è stato segnalato da un blogger cinese, e il malware si è diffuso anche attraverso risultati (dirottati) di ricerca su Baidu, il che fa pensare a un’operazione presumibilmente legata alla Cina. I ricercatori di SentinelOne hanno rilevato che l’infrastruttura di comando e controllo del malware utilizza indirizzi IP di Alibaba Cloud, indicando quanto meno che i criminali informatici affittano i server che si trovano in Cina. Ma questo appunto non dimostra la nazionalità o le affiliazioni degli hacker, poiché queste infrastrutture possono essere noleggiate da chiunque nel mondo. Solleva però interrogativi legittimi, visto che il regime cinese ha tutto l’interesse nell’attaccare le infrastrutture americane. L’Fbi ha infatti dichiarato l’anno scorso che diversi hacker legati al Partito comunista cinese hanno attaccato alcune infrastrutture importanti negli Stati Uniti, in attesa del momento opportuno per colpire.
L’allora direttore dell’Fbi, Christopher Wray, ha dichiarato che gli hacker sostenuti dalla Cina sono aumentati negli ultimi anni, grazie anche all’uso crescente dell’intelligenza artificiale da parte delle agenzie militari e di intelligence del Pcc. Wray ha aggiunto che l’attenzione degli hacker legati al Pcc si è spostata dal semplice furto di proprietà intellettuale all’infiltrazione in settori fondamentali come energia, telecomunicazioni e acqua, dando al regime cinese «la capacità di attendere il momento giusto per sferrare un duro colpo». Ma la Cina non è l’unica minaccia in agguato, l’Fbi ha messo in guardia anche contro potenziali attacchi informatici iraniani, sempre diretti a infrastrutture fondamentali degli Stati Uniti.
