La cadena d’infecció comença amb usuaris que descarreguen i executen aplicacions trencades des de llocs web no fiables. Durant la instal·lació, el malware es col·loca a la carpeta /Applications/, disfressat com un activador per a l’aplicació trencada. Una finestra d’Activador enganyosa sol·licita als usuaris que introdueixin la seva contrasenya d’administrador, permetent que el malware executi un executable ‘tool’ utilitzant la funció ‘AuthorizationExecuteWithPrivileges’. El malware verifica la presència de Python 3 en el sistema i l’instal·la si és necessari, aparentant ser un pegat rutinari de l’aplicació.
A continuació, el malware contacta amb un servidor de comandament i control (C2) al domini “apple-health[.]org”. Els atacants utilitzen un mètode nou per comunicar-se amb el servidor C2, demostrant les tàctiques en evolució dels ciberdelinqüents per vulnerar la seguretat dels sistemes macOS.
Source: Medium
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.