Check Point ha segnalato la diffusione di un malware – battezzato Dok – progettato per colpire in modo specifico gli utenti Mac e che viene “spinto” attraverso una campagna di phishing che coinvolge prevalentemente utenti europei.
Brutte notizie in casa cupertino. Da qualche tempo a questa parte si insidia la minaccia di Dok, un malware particolarmente insidioso sia per come opera sia perché è firmato digitalmente con una firma riconosciuta(almeno inizialmente) da Apple. Questo significa che può sfuggire ai controlli di Gatekeeper, se questo è impostato per permettere l’esecuzione di qualsiasi app “firmata” da uno sviluppatore riconosciuto.
Come molti malware anche Dok si diffonde attraverso un allegato a un messaggio email che finge di essere una comunicazione ufficiale lecita, ad esempio di una banca. Serve quindi che il malcapitato utente apra esplicitamente l’allegato, cosa che di norma non andrebbe mai fatta. Se invece questo avviene, il malware installa un elemento login che cerca a ogni riavvio di installare altri file che servono all’infezione.
A Dok serve anche sapere la password di amministrazione del Mac colpito, a questo scopo mostra un finto avviso della presenza di importanti aggiornamenti di sicurezza. L’avviso “congela” il Mac e non si può eliminare se non inserendo la password necessaria per apportare modifiche al sistema. Un altro passo che l’utente deve fare esplicitamente e che non andrebbe di norma fatto (Apple non usa avvisi del genere per gli aggiornamenti).
A questo punto però Dok ha campo totalmente libero, grazie alla password conquistata. Installa alcuni altri moduli software, cambia la configurazione di rete e installa un nuovo certificato digitale nel Portachiavi. Il risultato di tutto questo è che il traffico web generato dal Mac viene dirottato verso un proxy server “pirata” che intercetta tutte le operazioniche l’utente compie, come ad esempio digitare le password per accedere ai siti di home banking.
Dok è davvero pericoloso? Di certo è un malware molto ben fatto, il suo punto per fortuna debole è che almeno in un paio di passaggi deve essere esplicitamente autorizzato dall’utente del Mac colpito. Un utente almeno un po’ esperto del Mac dovrebbe capire che le richieste di autorizzazione sono anomale e così può bloccare l’infezione totale del Mac.