Malwarebytes ha rilevato e analizzato quello che passa alla cronaca come il primo malware Mac catalogato nel 2017: battezzato Fruitfly da Apple, ha la strana particolarità di essere scritto richiamando parti di codice ormai antiche, per i tempi dell’informatica. Inoltre sembra avere in particolare come bersagli le istituzioni della ricerca biomedica.
Rispetto alla media dei malware Mac, Fruitfly è molto semplice. Si compone di due soli file, di cui quello “attivo” è uno script in Perl che comunica con alcuni server remoti ed è in grado di eseguire catturate di schermo richiamando funzioni di sistema.
In più lo script salva su disco e poi lancia un file binario e una classe Java. Il primo sembra essere anch’esso dedicato a fare istantanee dello schermo e a prendere il controllo della webcam del Mac, la particolarità è che cerca di farlo usando funzioni di sistema molto vecchie, che datano anche a prima di OS X. Può darsi che chi ha sviluppato il malware Mac non conosca granché i computer di Cupertino e abbia usato documentazione vecchia oppure ri-usato codice esistente.
Il secondo elemento salvato su disco ed eseguito da Fruitfly – la classe Java – resta invisibile all’utente nelle sue operazioni e sembra un modulo che aspetta istruzioni dai server remoti di controllo, potendo prendere parzialmente il comando del Mac infettato.
Fruitfly non è un malware Mac sofisticato e Malwarebytes ipotizza che non sia stato rilevato sinora perché è poco diffuso, sviluppato probabilmente per operazioni di spionaggio industriale/scientifico in campo biomedico.
Apple ha già preparato un aggiornamento che blocca Fruitfly e che viene scaricato sui Mac in maniera automatica. Una curiosità: Malwarebytes ha battezzato il malware OSX.Backdoor.Quimitchin perché i quimitchin erano spie azteche. “Dato il codice antico, abbiamo pensato che il nome fosse adatto”, spiega.
