MacDownloader a fost găsit pe un site înfățișând compania aerospațială americană United Technologies, malware ce pare a fi produs în Iran și vizează industria de apărare din SUA. Acesta a fost găsit de către Claudio Guarnieri și Collin Anderson, doi cercetători care analizează amenințările de spionaj cibernetic iraniene.

Site-ul fals a fost folosit anterior într-un atac de tip e-mail spear-phishing pentru a răspândi malware Windows și despre care se presupune că ar fi fost menținut de către hackerii iranieni. Vizitatorii website-ului sunt întâmpinați cu o pagină despre programe gratuite și cursuri pentru angajații companiilor de apărare americane Boeing, Raytheon și Lockheed Martin.

MacDownloader poate fi descărcat printr-un installer de tip Adobe Flash încorporat într-un clip video de pe site. Website-ul va oferi malware Windows sau MacOS în funcție de sistemul de operare detectat. Acesta analizează profilul victimei, după care fură datele de autentificare prin generarea unor căsuțe false de login și recoltarea acestora din sistemul Apple de management al parolelor – Keychain.

Claudio și Collin au declarat că malware-ul este de proastă calitate, fiind “potențial o primă încercare din partea unui dezvoltator amator”. O dată ce malware-ul este instalat, acesta generează o căsuță Adobe Flash Player ce anunță că a fost descoperit un malware pe calculator și încearcă să-l curețe. În plus “aceste dialoguri sunt pline de greșeli de tipar și erori gramaticale, indicând faptul că dezvoltatorul a acordat prea puțină atenție calității malware-ului.” au mai spus cercetătorii.

În ciuda calității slabe a malware-ului, acesta a reușit să treacă neobservat și să fie nedetectat pe VirusTotal, website care însumează motoarele de scanare antivirus.

Malware-ul pe dispozitive MacOS este destul de rar aceasta deoarece hackerii tind să atace dispozitive bazate pe sistemul de operare Windows datorită popularității acestora. Dar acesta este un semnal de alarmă cum că nu sunteți feriți de hackeri doar pentru că folosiți un Mac.