Patrick Wardle, un experto en seguridad informática, ha descubierto un spyware para macOS gracias a que un usuario escribió en el foro de Malwarebytes informando que su compañera de trabajo había instalado algo por accidente, y que tras ello su configuración de servidores DNS permanecía fija apuntando a direcciones IP no deseadas.
Este malware tiene dos funciones principales que destacan: el secuestro de la configuración de los servidores DNS para que apunten a servidores controlados por el atacante y la instalación de un certificado raíz. Lo primero permite (among other things) que cuando la víctima quiera visitar “google.com”, sea el atacante quien responda a qué servidor debe acudir la víctima para descargar esa página web (con lo cual puede responder que acuda a un servidor diseñado para robar información).
En cuanto a la instalación de un certificado raíz, esto permite al atacante modificar las webs a las que accede el usuario o robar información que circule entre la web y el usuario.