Apple ha bloccato il malware OSX/Dok

Apple ha revocato il certificato-sviluppatore che ha permesso di creare quello che è stato ribattezzato DOK, un malware che non era bloccato dal Gatekeeper di sistema di macOS. L’applicazione malevola essendo firmata con un certificato valido, non veniva segnalata come potenzialmente dannosa.

OSX.Dok è un trojan in grado di bypassare GateKeeper e con l’inganno tener traccia del traffico dati scambiato su internet. Anche una sua variante, soprannominata OSX.Bella, una volta installata esegue uno script malevolo in grado di monitorare molti dati del nostro computer. 

Scoperto dal ricercatore di Malwarebytes, Adam Thomas, il nuovo virus si installerebbe proprio come OSX.Dok, nascondendosi dietro un semplice documento. Una volta infettata la macchina verrà installata una backdoor open-source chiamata Bella.

Malware per Mac, infetta tramite le macro in Microsoft Word

Questo nuovo malware copierebbe /Users/Shared/AppStore.app e mostrerebbe un alert con scritto che l’app sarebbe danneggiata. Piuttosto che rendere il Mac inutilizzabile mostrando aggiornamenti a pieno schermo, l’app si chiude e si auto elimina dopo un minuto circa.

Il malware si basa su uno script in Python che rimarrebbe sempre in esecuzione. I ricercatori hanno trovato che lo script sarebbe in grado di leggere i messaggi di iMessage, accedere a Trova il Mio iPhone, captare le password, catturare dati dal microfono e dalla camera FaceTime e scattare screenshot.

Attacchi da malware in documenti Word, come evitare il problema

Il trojan può esportare una grande mole di dati sensibili di compagnie, incluse password e certificati code-signing.

La buona notizia è che il certificato con il quale OSX.Bella veniva installato e quindi mostrato come app “verificata” è stato revocato da Apple. Se siete stati precedentemente infettati da questo virus Malwarebytes consiglia di cambiare tutte le vostre password. (fonte)