Spiare e non essere Spiati

Nuovo malware di Mac Os, spiava il traffico HTTPS, con firma digitale originale Apple

Molte persone credono di avere molto meno probabilità di essere disturbati da malware se usano un computer Mac, ma è proprio vero? Purtroppo, no

Secondo i laboratori McAfee , gli attacchi di malware sui computer Mac di Apple sono aumentate del 744% nel 2016, ed i suoi ricercatori hanno scoperto quasi 460.000 campioni di malware per Mac, che sono ancora solo una piccola parte del malware per Mac in circolazione.

Oggi, i Malware Research team di Checkpoint hanno scoperto un nuovo malware completamente invisibile per il Mac che, secondo loro, interessa tutte le versioni di Mac OS X, ha zero rilevazioni su VirusTotal ed è “firmato con un certificato sviluppatore valido (autenticato da Apple ).”

Soprannominato DOK , il malware viene distribuito attraverso una coordinata campagna di email di phishing e, secondo i ricercatori, è il primo di malware di gamma superiore, indirizzato agli utenti MacOS.

Il malware è stato progettato per ottenere i privilegi di amministratore e installare un nuovo certificato di origine sul sistema di destinazione, che consente agli aggressori di intercettare e ottenere l’accesso completo a tutte le comunicazioni della vittima, tra cui il traffico criptato SSL .

Solo circa tre mesi fa, i ricercatori Malwarebytes hanno scoperto un pezzo raro di minaccia di spionaggio Mac-based , soprannominato FruitFly , che è stato utilizzato per spiare computer di centro di ricerche biomediche e che è rimasto silente per anni.

Come funziona DOK

Il malware viene distribuito tramite una e-mail di phishing mascherato da messaggio relativo a presunte incongruenze nelle loro dichiarazioni dei redditi, ingannando le vittime con l’esecuzione di un file allegato .zip dannoso, che contiene il malware.

Dal momento che l’autore del malware utilizza un certificato sviluppatore valido firmato da Apple, il malware aggira facilmente il Gatekeeper, un dispositivo di sicurezza integrato del sistema operativo MacOS di Apple. È interessante notare che il malware DOK è anche non rilevabile in quasi tutti i prodotti antivirus.

Una volta installato, il malware si posiziona nella cartella /Users/Shared/ e quindi si aggiunge a “loginItem” al fine di essere operativo, permettendo così l’esecuzione automatica ogni volta che il sistema viene riavviato, fino a quando l’installazione non è terminata.

Il malware crea quindi una finestra che visualizza un messaggio dove si dice che un problema di sicurezza è stato identificato nel sistema operativo ed è disponibile un aggiornamento, per cui l’utente deve inserire il suo/la sua password.

Una volta che la vittima ha installato l’aggiornamento, i privilegi di amministratore sulla macchina della vittima passano in mano al malware che modificano le impostazioni di rete del sistema della vittima, consentendo a tutte le connessioni in uscita di passare attraverso un proxy.

Secondo i  ricercatori di ChecPoint,  “usando questi privilegi, il malware sarà quindi in grado di installare, un mix di pacchetti per OS X, che verrà utilizzato per installare strumenti aggiuntivi come TOR e SOCAT.”

DOK si autoelimina dopo il setting del Proxy

Il malware installa quindi un nuovo certificato principale nel Mac infettato che permette all’attaccante di intercettare il traffico della vittima utilizzando un (MiTM) attacco man-in-the-middle.

“Come risultato di tutte le azioni di cui sopra, quando si cerca di navigare sul web, il browser web dell’utente in primo luogo cercherà la pagina web dell’attacker su Tor per le impostazioni proxy”, dicono i ricercatori.

“Il traffico utente viene reindirizzato attraverso un proxy controllato dal malintenzionato che svolge un attacco man-in-the-middle, e fa vedere all’utente i siti su sui tenta di navigare. L’attacker è libero di vedere il traffico della vittima e manometterlo come meglio credono.

Secondo i ricercatori, quasi nessun antivirus ha aggiornato la propria firma sul database  per rilevare il malware DOK OS X, perchè il malware stesso si auto elimina una volta che vengono modificate le impostazioni proxy sui computer destinati alle intercettazioni.

Apple può risolvere il problema solo con la revoca del certificato all’autore del malware.

Nel frattempo, agli utenti si raccomanda di evitare di fare clic nei link contenuti nei messaggi o nelle e-mail provenienti da fonti non attendibili e prestare sempre attenzione prima scrivere la password di root.

Aggiornamento: Apple revoca il certificato malware usato da DOK sui Mac

Dopo che questa storia è venuta fuori, Apple ha risposto con la revoca del certificato illegittimo utilizzato dagli hacker che erano dietro il malware DOK, che, ripetiamo, veniva utilizzato per intercettare le comunicazioni della vittima, compreso il traffico HTTPS sicuro.

Malwarebytes ha dichiarato  nel suo post, che: “Apple ha già revocato il certificato utilizzato per firmare l’applicazione, quindi, a questo punto, questo malware non sarà più in grado di aprire l’applicazione e infettare il Mac”.

Oltre a questo, Apple ha inoltre implementato un aggiornamento, questo fine settimana, per  XProtect built-in, software anti-malware, nel tentativo di evitare attacchi di malware tipo DOK già esistenti e per quelli futuri.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *