Un Malware usa il certificato sviluppatore per infettare il Mac o S

Pubblicato il da @aleman007

Un team di ricerca malware ha scoperto un nuovo pezzo di malware di Mac che sembra interessare tutte le versioni di MacOS e viene firmato con un certificato di sviluppo valido autenticato da Apple (via The Hacker News ).

Il malware è stato soprannominato “DOK” e viene diffuso tramite una campagna di phishing e-mail che i ricercatori di CheckPoint affermano è specificamente targeting utenti macOS, rendendolo il primo del suo genere.

Il malware funziona ottenendo i privilegi di amministrazione per installare un nuovo certificato di root sul sistema dell’utente. Ciò consente di accedere a tutte le comunicazioni tra Mac host e Internet, incluso il traffico che attraversa le connessioni crittografate con SSL.

L’email iniziale finge di informare il destinatario delle incongruenze nel rendiconto fiscale e chiede loro di scaricare un allegato di file di zip sul loro Mac che ospita il malware. La funzionalità di protezione incorporata di Gatekeeper di Apple non riesce a riconoscerla come una minaccia a causa del suo certificato di sviluppo valido e il malware si copia alla cartella / Users / Shared / e crea un elemento di login per renderlo persistente, anche in un sistema riavviato .

Il malware in seguito presenta all’utente un messaggio di sicurezza che chiede che sia disponibile un aggiornamento per il sistema, per il quale è necessaria l’immissione di una password. A seguito dell’aggiornamento, il malware acquisisce il controllo completo dei privilegi di amministratore, regola le impostazioni di rete per deviare tutte le connessioni in uscita tramite un proxy e installa altri strumenti che consentono di eseguire un attacco uomo-in-mezzo su tutto il traffico.

Secondo i ricercatori, i programmi antivirus Mac devono ancora aggiornare i propri database per rilevare il malware DOK e consiglia di revocare immediatamente il certificato di sviluppo associato all’autore.

Nel gennaio, i ricercatori hanno scoperto un pezzo di malware di Mac chiamato Fruitfly che ha scoperto con successo i computer in centri di ricerca medica per anni prima di essere rilevato.

L’ultima scoperta di malware, che sembra destinare prevalentemente utenti europei, sottolinea il fatto che i Mac non sono immuni alla minaccia come si supponga a volte. Come sempre, gli utenti dovrebbero evitare di fare clic sui collegamenti o scaricare gli allegati in posta elettronica da fonti sconosciute e non attendibili.

Lascia un commento