On-line i primi report su quello che sembra essere un serio problema di malware per il sistema operativo che Apple definisce "sicuro fin dal primo istante".

Intego, società specializzata nella sicurezza informatica, ha segnalato un Trojan Horse denominato OSX.RSPlug creato per colpire gli utenti Macintosh. Il Trojan utilizza l'attacco denominato DNSChanger che cambia il l'indirizzo Domain Name Server (DNS) del Mac.

Secondo quanto riportato esso si può trovare all'interno di alcuni siti pornografici, i quali con la scusa di mostrare qualche video promozionale segnalano l'impossibilità di portare a termine l'operazione con il seguente messaggio di errore:
"Quicktime Player is unable to play movie file. Please click here to download new version of codec" (Tradotto: QuickTime non è in grado di riprodurre il filmato. Per favore click qui per scaricare una nuova versione del codec)

Quando il malcapitato clicca parte il download di un disco immagine (formato DMG) che però non contiene il codec ma bensì il Trojan, il quale una volta richiesti i privilegi di root (quello che sarebbe l'amministratore dei sistemi unix per chi ragiona in termini Windows) e che quindi può accedere a tutti i file e comandi del Sistema Operativo, modifica i parametri della connessione internet e installa con controllo periodico che ripristina l'attacco anche in caso di modifica.

Quando questo risulta attivato, alcune richieste di pagine web vengono manipolate e l'utente viene portato a visitare siti web di phishing (come Ebay, PayPal e di alcune Banche) o altre pagine web pornografiche.

Per controllare se si è infetti ed eseguire la rimozione del Trojan dal proprio Mac basta seguire una semplice procedura:

Prima di tutto controllare di non essere infetti tramite il comando da Terminale:

 sudo crontab -l

(attenzione mentre si digita la password non apparirà nessun carattere, è normale basta scriverla correttamente e premere invio)
Se non si è infetti viene restituito il messaggio:

 crontab: no crontab for root

Altrimenti:

1. Dal Finder, premere (Shift-Command-G) e inserire il percorso "/Library/Internet Plug-Ins/", eliminare il file chiamato "plugins.settings" e svuotare il cestino. Questo rimuoverà lo strumento che cambia il DNS.
2. Da Terminale digitare: sudo crontab -r e fornire la propria password di amministratore quando richiesta. Questo eliminerà il controllo periodico che il Trojan aveva impostato. Per controllare che tutto è andato bene rieffettuare il controllo sudo crontab -l.
3. Dalle preferenze di sistema, nella scheda Network reimpostare il proprio Server DNS e riavviare il Mac.

Infine spettano alcune considerazioni, infatti le sole persone che saranno infettate saranno coloro i quali non rispettano quella che è la regola d'oro dell'internet computing: non scaricare e installare programmi (specialmente se questi sono (a) pacchetti di installazione che (b) richiedono la password di amministratore) da fonti sconosciute (questo vale per qualsiasi sistema operativo, nessuno escluso). Tuttavia, poiché questo trucchetto potrebbe essere potenzialmente utilizzato attraverso qualsiasi sito anche più popolare potrebbe risultarne più semplice la diffusione su più larga scala... OSX sta aumentando di popolarità e di sicuro questo tipo di attacco diverrà sempre più diffuso.