Já relatamos no passado o surgimento de amostras de malware para macOS que se passam como apps legítimos, burlando a assinatura digital que a Apple utiliza em conjunto de seus desenvolvedores para atestar a proteção deles contra malware. Não é surpresa, portanto, que mais uma empresa de segurança (desta vez a Check Point) tenha localizado uma nova ameaça, a primeira do gênero a ser identificada em uma campanha de phishing distribuída em massa.
Denominado “Dok”, este novo malware tem como alvo usuários europeus, sendo distribuído em mensagens fraudulentas enviadas por um órgão de receita da Suíça. Segundo a Check Point, ele afeta “todas as versões” do OS X macOS — o que supostamente seja uma maneira de dizer que a maioria da base instalada está em risco — e, uma vez aberto, disfarça-se de uma atualização de sistema para corrigir problemas no computador e, assim, enganar o Gatekeeper.
Após solicitar autenticação do usuário, o malware instala um certificado raiz na máquina infectada, além de instruções de rede para redirecionar e efetuar a leitura de todas as comunicações seguras feitas pelo computador, via rede Tor. Um item de login também é adicionado ao sistema operacional, fazendo sua execução persistir mesmo após a máquina ser reiniciada.
Embora os fabricantes de antivírus para Mac possam atualizar suas assinaturas para reconhecer ameaças como esta, a Apple precisa pensar em controles para os casos em que atacantes tenham acesso a certificados válidos do seu programa de desenvolvedores. Iniciativas como o programa de recompensas, lançado no ano passado, são válidas, porém pouco ajudam em casos como este.
Para nós, usuários, a principal orientação é manter a atenção contra emails ou mensagens maliciosas.
[via The Hacker News]