Ransomware Turtle su macOS: indagine a 360° dell'esperto Patrick Wardle

Il panorama delle minacce informatiche ha registrato l'avvento di Turtle, un ransomware recentemente scoperto che mira agli utenti di macOS. Patrick Wardle, noto analista nel campo della sicurezza, ha condotto uno studio approfondito sul malware, sottolineando la sua capillare rilevazioni da parte di 24 varianti di software anti-malware una volta esaminato su VirusTotal. Nonostante ciò, le definizioni anti-malware risultano essere genericamente assegnate, con etichette come "Altro:Malware-gen" e "Trojan.Generic". Interessante notare come in alcuni casi sia stato erroneamente classificato come infezione specifica di Windows.

Turtle: un ransomware con tratti cross-platform

L'indagine di Wardle ha posto in luce la possibilità che Turtle sia originariamente stato concepito per ambienti Windows, per poi essere adattato all'ecosistema di macOS. Il rilevamento da parte di un solo software antivirus come "Ransom.Turtle" potrebbe indicare il nome utilizzato internamente dal malware. All'interno del pacchetto decompresso sono stati scoperti file di payload destinati a diverse piattaforme, tra cui Windows, Linux e sorprendentemente anche macOS, il che testimonia l'intenzione degli aggressori di colpire un'ampia gamma di sistemi.

Non sofisticato ma comunque pericoloso

Il codice di Turtle non integra firma digitale, il che fa supporre che possa essere bloccato dal Gatekeeper di macOS. Esso mostra assenza di tecniche di obfuscation all'interno del binario del ransomware. La tecnica adottata da Turtle per eseguire il ransomware include la lettura dei file in memoria, la crittografia sfruttando lo standard AES in modalità CTR, seguita dalla rinomina dei file con l'aggiunta dell'estensione "TURTLERANSv0". Queste operazioni comportano la sovrascrittura del contenuto originale con dati cifrati.

Importanza della vigilanza degli utenti Apple

Nonostante le capacità offensive di Turtle sembrino ancora limitate, la sua esistenza attesta l'interesse crescente che i cybercriminali nutrono nei confronti di macOS. Wardle ha evidenziato la presenza nell'analisi di stringhe in cinese, indicanti potenziali collegamenti con attività di ransomware, ma ciò non è considerato comprovante per stabilire l'identità degli aggressori. La minaccia posta da Turtle, benché contenuta, sottolinea l'importanza per gli utenti Apple di mantenere una costante vigilanza contro le minacce emergenti nel cyberspazio.