La settimana scorsa vi riportammo l’articolo riguardante OSX.Dok, un trojan in grado di bypassare GateKeeper e con l’inganno tener traccia del traffico dati scambiato su internet. Oggi è la volta di un nuovo virus soprannominato OSX.Bella che una volta installato esegue uno script malevolo in grado di monitorare molti dati del nostro computer.
Scoperto dal ricercatore di Malwarebytes, Adam Thomas, il nuovo virus si installerebbe proprio come OSX.Dok, nascondendosi dietro un semplice documento. Una volta infettata la macchina verrà installata una backdoor open-source chiamata Bella.
Questo nuovo malware copierebbe /Users/Shared/AppStore.app e mostrerebbe un alert con scritto che l’app sarebbe danneggiata. Piuttosto che rendere il Mac inutilizzabile mostrando aggiornamenti a pieno schermo, l’app si chiude e si auto elimina dopo un minuto circa.
Il malware si basa su uno script in Python che rimarrebbe sempre in esecuzione. I ricercatori hanno trovato che lo script sarebbe in grado di leggere i messaggi di iMessage, accedere a Trova il Mio iPhone, captare le password, catturare dati dal microfono e dalla camera FaceTime e scattare screenshot.
Il trojan può esportare grandi mole di dati sensibili di compagnie, incluse password e certificati code-signing.
La buona notizia è che il certificato con il quale OSX.Bella veniva installato e quindi mostrato come app “verificata” è stato revocato da Apple. Se siete stati precedentemente infettati da questo virus Malwarebytes consiglia di cambiare tutte le vostre password.
