Nei giorni scorsi è stato scoperto un nuovo malware estremamente pericoloso per macOS che infetta i Mac anche se hanno il sistema Gatekeeper o diversi antivirus attivi. Dopo aver infettato i Mac, il malware costringe gli utenti a installare un falso aggiornamento macOS, che dà pieno accesso a tutto ciò che facciamo sui Mac.
OSX/Dok è il nome di questo malware, ma per infettare il Mac deve essere installato dall'utente senza saperlo, sfruttando un attacco di phishing. Gli hacker inviano e-mail che sembrano provenire da istituti fiscali, hanno un archivio allegato e aprendolo si dà al malware l'accesso diretto ai nostri computer per fare quello che vuole.
Dopo l'installazione, il malware agisce al primo riavvio del computer, visualizzando un avviso di aggiornamento che ci impedisce di fare qualsiasi altra cosa sui computer. Dopo l'installazione totale del malware mascherato da questo avviso, ottiene i privilegi di amministratore sul computer e può accedere a qualsiasi dato, garantendogli inoltre il controllo totale sul Mac.
Inoltre, modifica anche le impostazioni Internet per monitorare tutto il nostro traffico Internet tramite un proxy hacker. Purtroppo questo consentirà loro di accedere a qualsiasi tipo di dati da noi trasmessi internamente, essendo inoltre installato un falso certificato di sicurezza che permette di spiare il traffico anche attraverso connessioni dati sicure.
Questo malware è molto pericoloso perché utilizza un certificato di sicurezza Apple per infettare i Mac, quindi non viene rilevato da Gatekeeper. Apple deve disabilitarlo per fermare l'attacco, finché gli hacker non ne generano un altro e il problema si ripresenta, quindi Apple dovrà trovare metodi di protezione migliori.
"Alla vittima non è consentito accedere a qualsiasi finestra o utilizzare il proprio computer in alcun modo finché non cede, inserisce la password e consente al malware di completare l'installazione. Una volta fatto, il malware ottiene i privilegi di amministratore sul computer della vittima. Il malware modifica quindi le impostazioni di rete del sistema vittima in modo tale che tutte le connessioni in uscita passino attraverso un proxy, ottenuto dinamicamente da un file Proxy AutoConfiguration (PAC) situato in un server dannoso."
