I malware per macOS sono aumentati del 744% rispetto all’anno scorso e oggi è il turno di un nuovo virus che sarebbe in grado di spiare tutto il traffico Internet, inclusi i siti web denominati “sicuri”.
I ricercatori di sicurezza di CheckPoint  hanno scovato questo malware che passerebbe inosservato da Gatekeeper e bloccherebbe gli utenti da qualsiasi task fino a quando essi non confermeranno un finto aggiornamento di macOS.

OSX/Dok è il nome che i ricercatori hanno dato a questo nuovo virus. Parte tutto da un attacco phishing nascosto all’interno di una mail riguardante alcune tasse da pagare. Un file sarebbe allegato in formato zip che una volta aperto causerebbe quello che vi abbiamo riportato qui sopra.

Il sistema è piuttosto intelligente, si installa automaticamente come componente per il Login chiamato “AppStore” ed al momento di ogni accensione esso verrà lanciato. Una volta acceso il Mac il programma aspetterà svariati minuti prima di mostrare una finta finestra di aggiornamento macOS.

The victim is barred from accessing any windows or using their machine in any way until they relent, enter the password and allow the malware to finish installing. Once they do, the malware gains administrator privileges on the victim’s machine […]

The malware then changes the victim system’s network settings such that all outgoing connections will pass through a proxy, which is dynamically obtained from a Proxy AutoConfiguration (PAC) file sitting in a malicious server.

Stando all’estratto riportato da CheckPoint, qualsiasi cosa farete su Internet, compreso accedere ai server con connessioni https, passerà dal proxy dell’hacker.

As a result of all of the above actions, when attempting to surf the web, the user’s web browser will first ask the attacker web page on TOR for proxy settings. The user traffic is then redirected through a proxy controlled by the attacker, who carries out a Man-In-the-Middle attack and impersonates the various sites the user attempts to surf. The attacker is free to read the victim’s traffic and tamper with it in any way they please.

La ragione per cui Gatekeeper non blocca il malware è molto semplice, è stato programmato da uno sviluppatore identificato con un certificato autentico. Ovviamente Apple può revocare i certificato una volta scoperto a chi appartiene, ma è quasi inutile perché l’hacker sarebbe in grado di accedere ad un altro certificato.

Insomma, state ben attenti a quello che cliccate sul web e alle email che ricevete, neanche più macOS è immune da virus.

Immagini tratte da 9to5mac

- Disclamer - Questo articolo presenta le opinioni del suo autore indipendente o della fonte da cui è estratto e non di Italiamac. Può essere stato realizzato con l'assistenza della IA. Non è da considerarsi consulenza, consiglio d'acquisto o investimento, in quanto a puro titolo esemplificativo generico.

ARTICOLI CORRELATIALTRO DALL'AUTORE