OSX / Dok, o nouă gamă de programe malware „la scară majoră” care vizează utilizatorii de macOS, poate ocoli funcția Gatekeeper concepută pentru a bloca software-ul rău intenționat.
Troianul nou identificat, care vă împiedică să faceți orice pe Mac până când instalați o actualizare falsă de software, rămâne, de asemenea, nedetectat de multe programe antivirus.
Pe măsură ce baza de utilizatori macOS crește, crește și malware-ul care îl vizează. Potrivit McAfee Labs, atacurile malware concepute pentru computerele Mac a crescut cu 744% în 2016, cu aproape 460.000 de probe descoperite. Cel mai recent este deosebit de îngrijorător.
Descoperit de cercetări de securitate la Punct de control, OSX / Dok poate accesa toate versiunile de macOS și OS X. Nu a fost recunoscut de bazele de date antivirus când a fost descoperit pentru prima dată și este considerat de primul „malware la scară majoră” care vizează utilizatorii Mac.
Programele malware OSX / Dok vizează toate computerele Mac
Cel mai supărător aspect al acestui malware? Este semnat cu un certificat de dezvoltator valid care a fost autentificat de Apple, ceea ce înseamnă că MacOS nu îl consideră o amenințare și nu este blocat de Gatekeeper. Certificatul este datat 21 aprilie 2017.
„Odată ce infecția OSX / Dok este completă, atacatorii au acces complet la toate comunicările victimelor, inclusiv la comunicarea criptată prin SSL”, explică Check Point. „Acest lucru se realizează prin redirecționarea traficului victimei printr-un server proxy rău intenționat.”
Programele malware sunt distribuite în principal în Europa prin e-mailuri de phishing care încurajează utilizatorii să descarce un fișier care detaliază presupusele neconcordanțe în declarațiile lor fiscale. Fișierul respectiv este numit „Dokument.zip” atunci când este distribuit între utilizatorii din Germania.
Cum funcționează programele malware OSX / Dok Mac
Când îl deschideți, malware-ul se copiază în folderul / Users / Shared, apoi continuă să se execute automat. De asemenea, elimină orice urmă a descărcării originale din folderul Descărcări și prezintă un mesaj de eroare care speră să convingă utilizatorii că fișierul „nu a putut fi deschis”.
Nu știu puțin că malware-ul s-a adăugat ca element de conectare cu numele „AppStore”, care rulează automat la prima pornire a Mac-urilor. Va continua să se execute de fiecare dată când un Mac infectat este pornit până când își instalează cu succes sarcina utilă.
„Aplicația rău intenționată va crea apoi o fereastră deasupra tuturor celorlalte ferestre. Această nouă fereastră conține un mesaj care susține că a fost identificată o problemă de securitate în operare sistemul că o actualizare este disponibilă și că pentru a continua cu actualizarea, utilizatorul trebuie să introducă un parola."
După ce ați primit acest popup, nu puteți face nimic cu Mac-ul dvs. până când nu sunteți de acord să instalați actualizarea falsă. Și, desigur, introducerea parolei dvs. oferă malware-ului privilegii de administrator și poate continua următoarea fază a atacului său.
Aceasta include instalarea unui manager de pachete care descarcă și instalează instrumente suplimentare și furnizarea contului de utilizator existent cu privilegii de administrator imediat, fără a fi nevoie să introduceți o parolă. De asemenea, modifică setările de rețea pentru a se asigura că toate conexiunile de ieșire trec printr-un proxy.
Ce face troianul OSX / Dok Mac
Desigur, acel proxy se află pe un server rău intenționat de pe „web-ul întunecat” și fiecare informație care trece prin acesta este colectată.
„Ca urmare a tuturor acțiunilor de mai sus, atunci când încearcă să navigheze pe web, browserul web al utilizatorului va solicita mai întâi pagina web a atacatorului de pe TOR setările proxy”, spune Check Point.
„Traficul utilizatorului este apoi redirecționat printr-un proxy controlat de atacator, care efectuează un atac Man-In-the-Middle și imită diferite site-uri pe care utilizatorul încearcă să le navigheze. Atacatorul este liber să citească traficul victimei și să-l manipuleze în orice mod îi place ”.
Odată ce atacatorul a obținut informațiile pe care le dorește, malware-ul se va elimina de pe computerul infectat. Utilizatorul nu are nicio idee despre ce se întâmpla în fundal până când nu este prea târziu.
Prin intermediul: Știrile hackerilor