Un team di ricercatori specializzato in sicurezza informatica ha individuato un malware per Mac che sarebbe in grado di colpire tutte le versioni di macOS e che è stato firmato con un certificato sviluppatori autenticato da Apple. Il malware, spiega MacRumors citando a sua volta il sito The Hacker News, è stato denominato “DOK”, è distribuito con tecniche di phishing via mail e secondo i ricercatori di CheckPoint ha come target specificatamente gli utenti Mac.
Il software malevolo convince l’utente a specificare nome e password dell’utente amministratore per installare un certificato di root attendibile (quelli usati per stabilire una catena di affidabilità che a sua volta viene utilizzata per verificare altri certificati firmati dalle root attendibili, ad esempio per stabilire una connessione sicura a un server web). L’installazione del certificato consente di avere accesso a tutte le comunicazioni tra l’host Mac e internet, incluso il traffico di connessioni cifrate usando il protocollo SSL.
Nella finta mail inviata agli utenti, si cerca di convincere il destinatario di “incongruenze” nella sua dichiarazione dei redditi, chiedendo al malcapitato di scaricare un file ZIP che innesca il malware. Il Gatekeeper di macOS, il meccanismo che protegge il sistema impedendo l’esecuzione di applicazioni non affidabili, non è in grado di riconoscere l’applicazione in questione come malevola giacché è stata creata sfruttando un valido certificato di uno sviluppatore; il malware copia se stesso nella cartella /Users/Shared/ e crea un elemento di login in modo da caricare se stesso a ogni avvio del sistema.
Il malware a questo punto presenta un finto messaggio di sicurezza presentando una finestra che cerca di ingannare l’utente affermando che sono presenti aggiornamenti di sistema e che per eseguirli è necessario indicare la password dell’utente amministratore. Eseguendo il finto update, il malware porta a termine il controllo del sistema ottenendo i privilegi desiderati, modifica le impostazioni di rete in modo da dirottare le connessioni mediante un proxy, installa strumenti aggiuntivi che consentono di eseguire un attacco “man in the middle” (un attacco in cui uno strumento o un cybercriminale si introduce tra vittima e server) controllando tutto il traffico di rete in entrata/uscita.
Nel momento in cui scriviamo Apple non ha ancora revocato il certificato che consente di installare il certificato ma ovviamente si tratta solo questione di ore. Non si tratta di una minaccia grave. Il consiglio è di non avviare applicazioni allegate a messaggi di posta elettronica e soprattutto non indicare password a software creati da perfetti sconosciuti. Qui i nostri vecchi e sempre validi consigli su come tenere al sicuro il Mac.
