newsSicurezza Informatica

Un malware per sistemi Mac : Calisto. Semplice ed efficace.

Calisto

Calisto è un trojan backdoor per macOS, considerato un precursore della famiglia Proton di malware. Anche se Calisto è scritto in Swift, utilizza una serie di tecniche simili alla sua progenie di proton. Notevole e semplice è stata la scelta di un falso prodotto antivirus come installatore.

mac calisto
mac calisto

Sebbene creato originariamente nel 2016, Calisto, un malware che ruba i dettagli di accesso al sistema e tanto altro ancora, è riuscito a rimanere “sotto i radar” fino al 2018 quando è stato scoperto.

Il malware è essenzialmente un backdoor Mac che viene riempito con numerose capacità di rilevamento dati, e ha anche la capacità di operare in silenzio all’interno di un dispositivo infetto senza che la vittima sia avvisata delle sue attività malvagie.

I creatori del malware hanno mimetizzato Calisto come un software di  sicurezza di Intego per Mac. Calisto assume le sembianze di Intego e presenta anche un falso “contratto di licenza”. Dopo essere stato scaricato, il malware richiede all’utente le informazioni di accesso, una richiesta molto comune tra le applicazioni prima di iniziare l’installazione su sistemi Mac.

Ma, una volta che la vittima inconsapevole fornisce le loro informazioni di accesso, il malware mimetizzato trasmette un messaggio di errore che consiglia all’utente di scaricare il programma direttamente dal sito ufficiale Intego.

Kaspersky sul loro blog :

“La tecnica è semplice ma efficace. La versione ufficiale del programma sarà probabilmente installata senza problemi, e l’errore sarà presto dimenticato. Intanto, sullo sfondo, Calisto andrà tranquillamente avanti con la sua missione”.

Il mio sistema e’ compromesso ?

guarda, sfogia e se vedi :

/Users/user/.calisto
/System/Library/CoreServices/launchb.app
/Library/LaunchAgents/com.intego.Mac-Internet-Security-X9-Installer.plist
molto ma molto probabilmente SI !
comunque …

La maggior parte degli utenti Mac, a meno che non disattivino SIP (System Integrity Protection che impedisce agli utenti/malware di manomettere i file critici anche se hanno una password amministrativa) dovrebbe essere al sicuro da questa minaccia. Inoltre, Calisto sembra anche essere stato abbandonato dai suoi creatori e quindi comporta un rischio minore rispetto alla sua progenie più pericolosa, la RAT Protone.