Circa un mese fa era stato identificato come un nuovo esemplare della non affollatissima categoria dei malware per Mac OS X: Kaspersky, la società che per prima l’aveva individuato, l’aveva battezzato Crisis, ma ora, grazie ad ulteriori ricerche condotte da Symantec, è emerso che la minaccia in realtà è ben più grave: Crisis è infatti un malware multipiattaforma ed è in grado di infettare anche Windows Mobile e le macchine virtuali VMWare Fusion. Per diffondersi adopera una tecnica già sfruttata da molti suoi precedenti colleghi; convince infatti l’utente che naviga nel web a installarlo spacciandosi per un aggiornamento del plugin di Adobe Flash Player per il browser.
Chi abbocca e procede con il download vede procedere una finta installazione di Flash, mentre in realtà, un file JAR si installa e attiva il malware, che inizia a intercettare le email, registra la cronologia dei siti visitati e cattura tutto quanto viene digitato dall’utente.
Crisis colpisce in questa maniera sia Mac OS X che Windows e per facilitare la propria diffusione su quest’ultimo crea sui dispositivi collegati tramite porta USB un file autorun.inf, così da farsi eseguire ogni volta che la periferica infetta viene collegata a un computer con Windows.
Ma questo malware è diabolico e riesce ad infettare anche gli smartphone con Windows Mobile, che attacca quando si effettua la sincronizzazione e perfino i file delle macchine virtuali create con VMWare Fusion. Dato che l’infezione delle macchine virtuali colpisce direttamente i file, montando l’immagine del disco e sfruttando VMWare Player, non è neanche necessario che queste siano in esecuzione e si tratta del primo esemplare conosciuto di malware a comportarsi in questo modo.
Secondo Symantec, Crisis è evidentemente opera di un gruppo organizzato e capace, anche se per fortuna, almeno per ora, il mondo non è minacciato da un nuovo caso di epidemia, vista la relativa scarsa diffusione del malware, che è stato individuato solo su 21 sistemi presenti in varie parti del mondo, compresa l’Italia.