Este virus informático se distribuye a través de una campaña de phishing (método que los ciberdelincuentes usan para engañar y conseguir que un usuario revele información personal como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias). Lo peculiar de «OSX/Dok» radica en que se dirige únicamente a MacOS, partiendo de la premisa que muchos de los usuarios de este sistema operativo piensan que son inmunes a las amenazas de la red.
La víctima recibe un email con un archivo en formato comprimido (zip), que al descargarlo instala un malware con el objetivo de desactivar las actualizaciones de seguridad del ordenador. A continuación, procede a lanzar un ataque que permita acceder a todas las redes de comunicación de la víctima («Man-in-the-Middle»), pese a que pueda tener un cifrado SSL.
Los ciberdelincuentes enmascaran el ataque con certificados legítimos de desarrollador de Apple para que la detección sea más complicada. El virus identifica la localización de la víctima mediante la dirección IP y según el país en el que se encuentre, redirige el tráfico del usuario. Por lo que, cada vez que la víctima intente entrar a la web de su banco, automáticamente es enviado a una página falsa que le reclama la identificación mediante sus claves personales.
Asimismo, el falso portal puede llegar a solicitar la descarga de la app en el smartphone a través de un código QR o un SMS por motivos de seguridad. En principio, el mensaje de texto descarga la app de mensajería Signal, pero el link puede ser modificado a voluntad de los ciberdelincuentes para integrar un malware en el móvil.
Las investigaciones de Check Point han concluido que los malware «Retefe» para Microsoft y «OSX/Dok» para Mac son iguales, solo que este último había sido trasladado para adaptarse al entorno MacOS a posteriori. La empresa de ciberseguridad alerta que cada vez va a ser más común encontrar virus adaptado a este tipo de sistema operativo.
