Verso il finire della scorsa settimana (precisamente, il 27 Aprile) la software house israeliana Check Point ha allertato gli utenti dei computer Mac, con sistema operativo OSX, in merito a una pericolosa campagna di phishing in grado di rubare tutti i dati personali, sensibili e finanziari, che l’utente può trovarsi a digitare nel corso della giornata.
Nello specifico, il team di ricercatori di Check Point – società attiva nelle soluzioni di sicurezza per le aziende – ha rilevato che è in corso una campagna di phishing che prende di mira gli utenti dei terminali Mac i quali, notoriamente, ritengono di essere tanto al sicuro da pericoli quali virus, ransomware, e malware, da – sovente – far a meno di un antivirus.
Nel caso specifico, a diversi utenti sarebbe giunta una mail che, apparentemente, sarebbe riconducibile alle autorità fiscali, e che paventerebbe delle incongruenze in sede di dichiarazione dei redditi: per accertare il tutto, e risolvere eventuali controversie, il testo consiglierebbe di scaricare dei moduli contenuti in un allegato zip, denominato “Dokument.zip”.
Il problema, com’è facile immaginare, risiede proprio in quest’ultimo che, una volta aperto, installerebbe in locale il malware OSX/Dok: quest’ultimo, per non chiedere sempre la password all’utente, assumerebbe i diritti amministrativi del terminale, e installerebbe un certificato root per poter deviare, poi, il traffico di rete verso un proxy server.
In questo modo, qualsiasi cosa l’utente digitasse nel corso delle sue navigazioni, dalle password per i social, ai log-in per PayPal o per l’home-banking, verrebbe facilmente intercettato, anche se veicolato tramite il protocollo HTTPS, nel corso di veri e propri attacchi “man in the middle”.
Oltre alla portata dei dati catturabili in seguito a cotal infezione informatica, a destare allarme – in questa campagna di phishing a danno degli utenti Mac – sono anche altri elementi: la missiva, infatti, ha la capacità di adattarsi alla lingua di sistema dell’utente, il virus – dotato di un certificato sviluppatore autenticato da Apple – non viene rilevato dalle scansioni online di VirusTotal, e colpisce tutte le versioni di OSX. Non solo: a quanto pare, il malware, una volta colpito la macchina, e modificatene le impostazioni di connettività, a compito concluso, si cancellerebbe senza lasciar, quindi, traccia.
Per cautelarsi contro la presente campagna truffaldina 2.0, gli esperti di sicurezza consigliano di prestare attenzione agli allegati dubbi, tenendo presente che le autorità fiscali, solitamente, contattano i contribuenti tramite i canali della posta tradizionale. Oltre a ciò, è sempre bene tener installato un buon antivirus, aggiornando regolarmente sia quest’ultimo che il sistema operativo che lo ospita.
Nel caso, invece, si sospetti di esser già stati colpiti dall’azione di OSX/Dok, una pratica verifica consiste nel recarsi nelle Preferenze di Sistema, onde valutare se siano state variate le impostazioni del proxy: in questo caso, è bene rimettere quelle di default.