Il sistema operativo di casa Apple, come tutti ben sappiamo, è praticamente inattaccabile da virus e malware comuni che, al contrario, minacciano quotidianamente altre tipologie di computer.
Tuttavia i malfattori del web sembrano aver trovato il modo di preoccupare gli sviluppatori della “mela morsicata” con un nuovo malware denominato DOK.
Questo virus, in particolare, è firmato con un certificato sviluppatori autenticato ancora non revocato da Apple, il che rende molto difficoltoso riconoscerlo ed evitarlo prontamente.
Diffusione rapida e ben architettata
DOK, nello specifico, è stato individuato grazie ad un team di esperti in sicurezza informatica, il quale è giunto in contatto diretto con il malware.
Ciò che ha impressionato, sin da subito, sono le modalità di diffusione di questo programma e la facilità con il quale esso riesce ad insidiarsi all’interno del sistema operativo macOS.
In particolare il tutto avviene tramite posta elettronica con una mail inviata all’utente nella quale si cerca di convincerlo di alcune incongruenze nella sua dichiarazione dei redditi e lo si invita a scaricare un file ZIP, all’interno del quale sono racchiuse tutte le informazioni.
Al momento dell’esecuzione di tale file, però, si innesca di fatto il malware.
La “genialità” nella realizzazione di questo file malevolo sta nel fatto che Gatekeeper di macOS, vale a dire il meccanismo che permette di proteggere il sistema operativo da programmi poco attendibili, non è in grado di riconoscere DOK come una minaccia, in quanto realizzato sfruttando un certificato sviluppatore autentico.
Il malware, pertanto, copia se stesso nella cartella /Users/Shared/ in modo da essere caricato in maniera del tutto automatica ad ogni riavvio del sistema.
A questo punto viene presentata all’utente una finta finestra di Warning all’interno della quale è affermato che sono presenti importanti aggiornamenti di sistema e che per eseguirli, naturalmente, è necessario inserire il nome e la password dell’account amministratore.
Una volta inserite queste informazioni, il malware esegue un finto update, il quale altro non è che un controllo finale del sistema volto ad ottenere tutto il necessario per il suo corretto funzionamento.
Effetti e minacce concrete
Così come la diffusione di DOK è decisamente semplice, rapida e funzionale al suo scopo, così anche gli effetti e le minacce effettive sono realmente concrete e pericolose.
In particolare, tramite l’update di sistema fasullo, il malware riesce ad ottenere dei privilegi particolari i quali gli permettono di dirottare le connessioni attraverso un proxy e di installare strumenti aggiuntivi.
Questi strumenti, nello specifico, sono utili per un tipico attacco definito “man in the middle” letteralmente tradotto come uomo nel mezzo.
Grazie a questa tipologia di attacchi, infatti, un cyber criminale ha la possibilità di inserirsi tra il computer della vittima ed il server in modo da poter monitorare il traffico in entrata ed uscita.
In questo modo la connessione verso qualsiasi tipologia di sito o spazio web non è più sicura ed è costantemente controllata da soggetti con intenzioni non proprio buone, i quali hanno la possibilità di avere accesso a dati personali quali carte di credito, codici bancari ecc, in maniera del tutto semplice ed immediata, nel momento in cui è lo stesso utente ad inserirle per le proprie normali operazioni finanziarie.
Come proteggersi
Gli effetti negativi che DOK può provocare alle vittime sono, come abbiamo potuto costatare, decisamente disastrosi.
Apple, attualmente, non ha ancora revocato il certificato sviluppatore e questo rende praticamente impossibile rimuovere il malware una volta installato.
Siamo fiduciosi, però, che gli esperti di sicurezza informatica provvederanno al più presto a rimuovere questa minaccia e mettere in sicurezza l’intero sistema.
Nel frattempo il consiglio è quello di evitare assolutamente di scaricare file che all’apparenza possono sembrare sospetti, di non avviare applicazioni correlate a messaggi di posta elettronica che non convincono del tutto e, soprattutto, non fornire in alcun caso nome utente e password.