MacDownloader è un malware per macOS apparso recentemente e che ha come obiettivo il Ministero della Difesa statunitense. I due ricercatori che hanno individuato il malware, Claudio Guarnieri e Collin Anderson, affermano che si tratta di un attacco che ha come target l’industria della difesa (il complesso dell’industria che sviluppa, produce e fornisce beni e servizi alle forze armate e forze di polizia di uno Stato) ma tentativi di un suo utilizzo sarebbero stati notati anche per attaccare un difensore dei diritti umani.
MacDownloader si presenta sia come se fosse una versione di Adobe Flash Player, sia camuffandosi come se fosse l’Adware Removal Tool di Bitdefender, cercando di estrapolare informazioni dal sistema accedendo al Portachiavi di OS X. Secondo i ricercatori, il sistema è un (goffo) tentativo di far diffondere un agente con lo scopo di estrapolare dati in contesti più ampi. La pericolosità è reale ma limitata: per installarsi sul Mac, infatti, il malware richiede l’inserimento da parte dell’utente della password di amministratore e dunque è in grado di colpire persone molto sprovvedute.
Interessante l’approccio utilizzato: è stato creato un sito che presenta la società aerospaziale “United Technologies Corporation”, una tecnica di spearphishing già usata dagli iraniani per diffondere un malware per Windows. Nella pagina web sono elencati presunti “programmi speciali e corsi” menzionando nello specifico dipendenti e tirocinanti di aziende quali Lockheed Martin, Sierra Nevada Corporation, Raytheon e Boeing, nomi sfruttati per stuzzicare l’interesse degli obiettivi. È ovviamente obbligatorio scaricare un presunto video player (in realtà il vettore del malware). Il lavoro dei cybercriminali non è perfetto perché il sito-esca è pieno di errori grammaticali ma è interessante segnalare le tecniche di phishing usate ed evidenziare come anche su questo versante, i cybercrimali trovano sempre nuove soluzioni per attirare le loro “prede”.