L’esperto di sicurezza Patrick Wardle svela il funzionamento del ransomware Turtle, un nuovo pericolo per i dispositivi Apple con macOS.
Analisi Tecnica: Metodi e Identificazione
Il recente ransomware denominato Turtle è stato oggetto di un’approfondita analisi da parte dell’esperto di sicurezza informatica Patrick Wardle. Esaminando i risultati su Virus Total, si è scoperto che il codice è stato identificato come dannoso da 24 soluzioni anti-malware. Nonostante non sia considerato altamente sofisticato, le etichette variano tra “Altro:Malware-gen”, “Trojan.Generic” e “Possibile Minaccia”.
Wardle ha avanzato l’ipotesi che Turtle potrebbe originariamente essere stato sviluppato per Windows e successivamente adattato per macOS, poiché solo un antivirus lo ha riconosciuto con il nome interno “Ransom.Turtle”. La mancanza di firma digitale e l’assenza di oscuramento nel codice binario suggeriscono che Gatekeeper, la protezione di macOS, potrebbe bloccarlo.
Il ransomware agisce leggendo i file in memoria, crittografandoli con AES (modalità CTR), rinominandoli e sovrascrivendo i contenuti originali con dati crittografati, aggiungendo l’estensione “TURTLERANSv0” ai file interessati.
Rischio Emergente: La Crescente Diffusione su macOS
Sebbene Turtle non raggiunga livelli di sofisticazione elevati, la presenza di una versione macOS evidenzia la crescente diffusione di minacce online per gli utenti Apple. Le stringhe in cinese scoperte da Wardle, come “加密文件” che significa “Crittografa i file”, suggeriscono un’origine cinese, ma non sono sufficienti per identificare un gruppo di hacker specifico.
In conclusione, l’analisi di Wardle sottolinea come macOS sia un obiettivo continuo per i creatori di ransomware, anche se le minacce attuali risultano ancora limitate. Gli utenti Apple sono incoraggiati a rimanere vigili e adottare le pratiche di sicurezza consigliate per proteggere i propri dispositivi.
