Un cheval de Troie Mac nommé Calisto datant de 2016 a été ressuscité. Actuellement distribué via des logiciels agrées pour des ordinateurs Apple. Sous la forme d'un DMG non signé pour le Mac Internet Security X9 d'Intego, les données de connexion de l'utilisateur malveillant sont accessibles pour d'autres actions malveillantes.
Deux ans après sa première sortie, de nouvelles infections ont été découvertes par le MacOS Trojan Calisto, selon les chercheurs en sécurité de Kasperky Lab. Le ravageur est probablement un précurseur du Proton de Troie, qui a été mis en circulation en 2017, écrit Apple Insider.
Calisto est déguisé en DMG non signé pour la suite de sécurité Mac Internet Security X9 d'Intego et vise probablement à tromper les utilisateurs qui installent le logiciel mais ne veulent pas l'acheter directement d'Intego. Le logiciel malveillant demande à l'utilisateur ses données d'accès et affiche un message d'erreur d'installation après avoir saisi les données, ce qui l'invite à télécharger à nouveau le logiciel officiel. De cette façon, le logiciel malveillant entre en possession des données de connexion de l'utilisateur, avec lesquelles il peut ensuite effectuer indépendamment d'autres actions malveillantes.
Le logiciel malveillant peut accéder au certificat et recueillir des mots de passe et des logins stockés par l'utilisateur, l'historique, les signets et les données des cookies de Google Chrome, ainsi que des informations sur les réseaux connectés. Il peut démarrer au démarrage du OS, permettre l'accès à distance au Mac et transmettre les données recueillies à un serveur distant.
Les systèmes plus récents bloqueront la plupart des fonctionnalités parce que la protection de l'intégrité du système (SIP) qu'Apple a introduit avec OS X El Capitan protège les fichiers système critiques. Pour prévenir de telles attaques, gardez les systèmes Mac à jour et n'exécutez que des logiciels provenant de sources fiables comme le Mac App Store. Les utilisateurs Apple de systèmes avec SIP devraient également vérifier si elle est activée par précaution.