La catena di infezione inizia con gli utenti che scaricano ed eseguono applicazioni crackate da siti web non affidabili. Durante l’installazione, il malware viene posizionato nella cartella /Applications/, mascherato come un attivatore per l’app crackata. Una finestra di Attivazione ingannevole invita gli utenti a inserire la loro password di amministratore, consentendo al malware di eseguire un eseguibile ‘tool’ utilizzando la funzione ‘AuthorizationExecuteWithPrivileges’. Il malware controlla la presenza di Python 3 sul sistema e lo installa se necessario, apparendo come un normale aggiornamento dell’app.
Il malware quindi contatta un server di comando e controllo (C2) al dominio “apple-health[.]org”. Gli attaccanti utilizzano un metodo innovativo per comunicare con il server C2, dimostrando le tattiche in evoluzione dei criminali informatici nel violare la sicurezza dei sistemi macOS.
Source: Medium
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.