Qualche giorno addietro è stato individuato un malware denominato DOK che si diffonde via mail chiedendo al destinatario nome utente e password dell’account amministratore, e che aveva (Apple l’ha bloccato) la peculiarità di presentarsi al sistema come affidabile (firmato con un certificato sviluppatori autenticato da Apple) e aggirare il Gatekeeper di macOS.
Dopo DOK c’è già in circolazione un secondo malware simile e che i ricercatori esperti in sicurezza hanno denominato “OSX.Bella”. Il malware è stato individuato da Adam Thomas, ricercatore di Malwarebytes, e sfrutta lo stesso metodo di OSX.Dok diffondendosi come file allegato alle mail. Infettata la macchina dell’utente-target e installa una backdoor (un meccanismo che consente a terzi di introdursi nel sistema) denominata “Bella”.
Il malware crea il file /Users/Shared/AppStore.app visualizza un messaggio avvisando l’utente che l’app è danneggiata (un trucco per portare a termine il lavoro sporco e ingannare l’utente). Anziché visualizzare una pagina (come fa OSX.Dok) chiedendo di digitare nome utente e password dell’amministratore, l’applicazione si chiude e cancella se stessa dopo qualche minuto.
Il malware non è particolarmente pericoloso ma lo è potenzialmente lo script Python sfruttato. I ricercatori hanno scoperto che è in grado di accedere ai messaggi iMessage, infiltrarsi nella funzione Trova il mio iPhone sul Mac, catturare password, dati dal microfono, catturare schermate e filmati dalla videocamera FaceTime.
Apple ha già bloccato il certificato-sviluppatore sfruttato per creare il malware. Come sempre il consiglio è di prestare attenzione ai software scaricati da fonti sconosciute, le applicazioni proposte come allegati alle mail e chiedersi se è normale che l’applicazione che si sta eseguendo richieda i diritti dell’utente amministratore.