OSX/Dok, een nieuwe soort "grote schaal" malware gericht op macOS-gebruikers, kan de Gatekeeper-functie omzeilen die is ontworpen om schadelijke software te blokkeren.
De nieuw geïdentificeerde trojan, die voorkomt dat je iets op je Mac doet totdat je een nep-software-update installeert, wordt ook niet opgemerkt door veel antivirusprogramma's.
Naarmate het gebruikersbestand van macOS groeit, groeit ook de malware die erop gericht is. Volgens McAfee Labs zijn malware-aanvallen ontworpen voor Mac-computers steeg met 744 procent in 2016, met bijna 460.000 ontdekte monsters. Vooral de laatste is zorgwekkend.
Ontdekt door beveiligingsonderzoeken op Controlepunt, kan OSX/Dok alle versies van macOS en OS X raken. Het werd niet herkend door antivirusdatabases toen het voor het eerst werd ontdekt, en het wordt beschouwd als de eerste "malware op grote schaal" die zich op Mac-gebruikers richt.
OSX/Dok-malware richt zich op alle Macs
Het meest lastige aspect van deze malware? Het is ondertekend met een geldig ontwikkelaarscertificaat dat is geverifieerd door Apple, wat betekent dat macOS het niet als een bedreiging ziet en niet wordt geblokkeerd door Gatekeeper. Het certificaat is gedateerd 21 april 2017.
"Zodra de OSX/Dok-infectie is voltooid, krijgen de aanvallers volledige toegang tot alle communicatie met slachtoffers, inclusief communicatie die is versleuteld met SSL", legt Check Point uit. "Dit wordt gedaan door het verkeer van slachtoffers om te leiden via een kwaadaardige proxyserver."
De malware wordt voornamelijk in Europa verspreid via phishing-e-mails die gebruikers aanmoedigen om een bestand te downloaden waarin vermeende inconsistenties in hun belastingaangifte worden vermeld. Dat bestand heet "Dokument.zip" wanneer het wordt verspreid onder gebruikers in Duitsland.
Hoe OSX/Dok Mac-malware werkt
Wanneer u het opent, kopieert de malware zichzelf naar de map /Users/Shared en gaat vervolgens automatisch verder met uitvoeren. Het verwijdert ook elk spoor van de originele download uit de map Downloads en presenteert een foutmelding die gebruikers hoopt te overtuigen dat het bestand "niet kon worden geopend".
Ze weten niet dat de malware zichzelf heeft toegevoegd als een inlogitem met de naam "AppStore", die automatisch wordt uitgevoerd wanneer ze hun Mac voor het eerst opstarten. Het zal doorgaan met het uitvoeren van elke keer dat een geïnfecteerde Mac wordt opgestart totdat het zijn payload met succes heeft geïnstalleerd.
“De kwaadaardige applicatie zal dan een venster creëren bovenop alle andere vensters. Dit nieuwe venster bevat een bericht waarin wordt beweerd dat er een beveiligingsprobleem is geïdentificeerd in de bedienings systeem dat er een update beschikbaar is en dat de gebruiker om door te gaan met de update een wachtwoord."
Zodra je deze pop-up hebt ontvangen, kun je niets meer doen met je Mac totdat je akkoord gaat met het installeren van de nep-update. En natuurlijk geeft het invoeren van uw wachtwoord de malware beheerdersrechten en kan het de volgende fase van zijn aanval voortzetten.
Dat omvat het installeren van een pakketbeheerder die extra tools downloadt en installeert, en het onmiddellijk verstrekken van beheerdersrechten aan het bestaande gebruikersaccount zonder dat een wachtwoord hoeft in te voeren. Het wijzigt ook de netwerkinstellingen om ervoor te zorgen dat alle uitgaande verbindingen via een proxy gaan.
Wat de OSX/Dok Mac-trojan doet?
Natuurlijk staat die proxy op een kwaadaardige server op het 'dark web' en elk stukje gegevens dat er doorheen gaat, wordt verzameld.
"Als gevolg van alle bovenstaande acties, zal de webbrowser van de gebruiker bij een poging om op internet te surfen eerst de aanvaller-webpagina op TOR vragen om proxy-instellingen", zegt Check Point.
“Het gebruikersverkeer wordt vervolgens omgeleid via een proxy die wordt beheerd door de aanvaller, die een Man-in-the-Middle-aanval uitvoert en de verschillende sites nabootst waarop de gebruiker probeert te surfen. Het staat de aanvaller vrij om het verkeer van het slachtoffer te lezen en ermee te knoeien op elke gewenste manier.”
Zodra de aanvaller de gewenste informatie heeft verkregen, verwijdert de malware zichzelf van de geïnfecteerde machine. De gebruiker heeft geen idee wat er op de achtergrond gebeurde totdat het te laat is.
Via: Het Hacker-nieuws
