Durante los últimos días se ha descubierto un nuevo malware extremadamente peligroso para macOS que infecta a los Mac aunque tengan el sistema Gatekeeper o varias aplicaciones antivirus activas. Después de infectar Mac, el malware obliga a los usuarios a instalar una actualización falsa de macOS, que brinda acceso completo a todo lo que hacemos en Mac.
OSX/Dok es el nombre de este malware, pero para infectar el Mac debe ser instalado por el usuario sin saberlo, utilizándose un ataque de phishing. Los piratas informáticos envían correos electrónicos que parecen provenir de instituciones tributarias, tienen un archivo adjunto y al abrirlo, el malware accede directamente a nuestros equipos para hacer lo que quiera.
Tras la instalación, el malware actúa en el primer reinicio del ordenador, mostrando una alerta de actualización que nos impide hacer nada más en los equipos. Tras la instalación total del malware enmascarado por esa alerta, este obtiene privilegios de administrador en el ordenador y puede acceder a cualquier dato, proporcionándole además un control total sobre el Mac.
Además, también modifica la configuración de Internet para monitorear todo nuestro tráfico de Internet a través de un proxy pirata informático. Lamentablemente, esto les permitirá acceder a cualquier tipo de datos que transmitamos internamente, instalándose además un certificado de seguridad falso, que permite espiar el tráfico incluso a través de conexiones de datos seguras.
Este malware es muy peligroso porque utiliza un certificado de seguridad de Apple para infectar Mac, por lo que Gatekeeper no lo detecta. Apple deberá desactivarlo para detener el ataque, hasta que los hackers generen otro y el problema vuelva a aparecer, por lo que Apple tendrá que buscar mejores métodos de protección.
"La víctima tiene prohibido acceder a cualquier ventana o usar su máquina de cualquier manera hasta que ceda, ingrese la contraseña y permita que el malware termine de instalarse. Una vez que lo hacen, el malware obtiene privilegios de administrador en la máquina de la víctima. Luego, el malware cambia la configuración de red del sistema víctima de modo que todas las conexiones salientes pasen a través de un proxy, que se obtiene dinámicamente de un archivo de configuración automática de proxy (PAC) ubicado en un servidor malicioso".
