OSX/Dok, nova vrsta zlonamerne programske opreme velikega obsega, ki cilja na uporabnike macOS, lahko obide funkcijo Gatekeeper, ki je zasnovana za blokiranje zlonamerne programske opreme.
Na novo identificiran trojan, ki vam preprečuje, da bi karkoli naredili na vašem Macu, dokler ne namestite lažne posodobitve programske opreme, tudi številni protivirusni programi ne zaznajo.
Z naraščanjem baze uporabnikov macOS raste tudi zlonamerna programska oprema, ki jo cilja. Po podatkih McAfee Labs so napadi zlonamerne programske opreme namenjeni računalnikom Mac se je leta 2016 povečal za 744 odstotkov, pri čemer je bilo odkritih skoraj 460.000 vzorcev. Zadnje je še posebej zaskrbljujoče.
Odkrite z varnostnimi raziskavami na Kontrolna točka, OSX/Dok lahko zadene vse različice macOS in OS X. Protivirusne baze podatkov, ko so ga prvič odkrile, ga niso prepoznale in velja za prvo "zlonamerno programsko opremo velikega obsega", ki je namenjena uporabnikom Mac.
Zlonamerna programska oprema OSX/Dok cilja na vse računalnike Mac
Najbolj moteč vidik te zlonamerne programske opreme? Podpisan je z veljavnim certifikatom razvijalca, ki ga je overil Apple, kar pomeni, da macOS tega ne vidi kot grožnjo in ga Gatekeeper ne blokira. Potrdilo je z dne 21. aprila 2017.
"Ko je okužba z OSX/Dok končana, napadalci pridobijo popoln dostop do vse komunikacije žrtev, vključno s komunikacijo, šifrirano s protokolom SSL," pojasnjuje Check Point. "To naredite tako, da promet žrtev preusmerite prek zlonamernega strežnika proxy."
Zlonamerna programska oprema se v Evropi distribuira predvsem prek e -poštnih sporočil z lažnim predstavljanjem, ki uporabnike spodbujajo, da prenesejo datoteko, ki opisuje domnevne nedoslednosti v njihovih davčnih napovedih. Ta datoteka se imenuje »Dokument.zip«, ko je razdeljena med uporabnike v Nemčiji.
Kako deluje zlonamerna programska oprema OSX/Dok Mac
Ko ga odprete, se zlonamerna programska oprema kopira v mapo /Users /Shared, nato pa se samodejno nadaljuje. Prav tako odstrani vse sledi prvotnega prenosa iz mape Prenosi in prikaže sporočilo o napaki, ki upa uporabnike prepričati, da datoteke »ni bilo mogoče odpreti«.
Ne vedo niti, da se je zlonamerna programska oprema dodala kot prijavni element z imenom »AppStore«, ki se samodejno zažene ob prvem zagonu računalnikov Mac. Izvajalo se bo vsakič, ko se okuženi Mac zažene, dokler uspešno ne namesti svojega koristnega tovora.
»Zlonamerna aplikacija bo nato ustvarila okno na vrhu vseh drugih oken. To novo okno vsebuje sporočilo, ki trdi, da je bila v operacijskem postopku ugotovljena varnostna težava sistem, da je na voljo posodobitev in da mora uporabnik za nadaljevanje posodobitve vnesti datoteko a geslo. "
Ko prejmete to pojavno okno, ne morete storiti ničesar z računalnikom Mac, dokler se ne strinjate z namestitvijo lažne posodobitve. In seveda, vnos gesla daje zlonamerni programski opremi skrbniške pravice in lahko nadaljuje naslednjo fazo napada.
To vključuje namestitev upravitelja paketov, ki prenese in namesti dodatna orodja, ter obstoječemu uporabniškemu računu takoj zagotovite skrbniške pravice, ne da bi morali vnesti geslo. Prav tako spremeni omrežne nastavitve, da zagotovi, da vse odhodne povezave prehajajo prek proxyja.
Kaj počne OSX/Dok Mac trojan
Seveda ta strežnik proxy sedi na zlonamernem strežniku na »temnem spletu« in zberejo se vsi podatki, ki pridejo skozinj.
"Zaradi vseh zgornjih dejanj bo uporabnikov spletni brskalnik pri poskusu brskanja po spletu najprej od napadalčeve strani na TOR -ju zahteval nastavitve proxyja," pravi Check Point.
»Uporabniški promet se nato preusmeri prek strežnika proxy, ki ga nadzira napadalec, ki izvede napad Man-in-the-Middle in se lažno predstavlja za različna spletna mesta, ki jih uporabnik poskuša brskati. Napadalec lahko prebere žrtev promet in ga posega na kakršen koli način. "
Ko napadalec pridobi želene podatke, se bo zlonamerna programska oprema odstranila iz okuženega računalnika. Uporabnik se ne zaveda, kaj se je dogajalo v ozadju, dokler ni prepozno.
Preko: Novice o hekerjih
