OSX/Dok, en ny stam av ”storskalig” skadlig kod riktad mot macOS -användare, kan kringgå Gatekeeper -funktionen som är utformad för att blockera skadlig programvara.
Den nyligen identifierade trojanen, som hindrar dig från att göra någonting på din Mac tills du installerar en falsk programuppdatering, blir också oupptäckt av många antivirusprogram.
I takt med att macOS -användarbasen växer, ökar även skadlig programvara som riktar sig till den. Enligt McAfee Labs är malware -attacker utformade för Mac -datorer steg 744 procent 2016, med nästan 460 000 prover upptäckta. Det senaste är särskilt oroande.
Avtäckt av säkerhetsforskningar vid Kontrollpunkt, OSX/Dok kan träffa alla versioner av macOS och OS X. Det känns inte igen av antivirusdatabaser när det upptäcktes för första gången, och det anses vara det första "malware i stor skala" som riktar sig till Mac -användare.
OSX/Dok -skadlig kod riktar sig till alla Mac -datorer
Den mest besvärliga aspekten av denna skadliga programvara? Den är signerad med ett giltigt utvecklarcertifikat som har autentiserats av Apple, vilket betyder att macOS inte ser det som ett hot och att det inte blockeras av Gatekeeper. Intyget är daterat 21 april 2017.
"När OSX/Dok -infektionen är klar får angriparna fullständig åtkomst till all offerkommunikation, inklusive kommunikation krypterad med SSL", förklarar Check Point. "Detta görs genom att omdirigera offertrafik via en skadlig proxyserver."
Skadlig programvara distribueras främst i Europa via phishing -e -postmeddelanden som uppmuntrar användare att ladda ner en fil som beskriver förmodade inkonsekvenser i sina skattedeklarationer. Den filen heter "Dokument.zip" när den distribueras mellan användare i Tyskland.
Hur OSX/Dok Mac skadlig programvara fungerar
När du öppnar den kopierar skadlig programvara sig till mappen /Users /Shared och fortsätter sedan att köra sig själv automatiskt. Det tar också bort alla spår av den ursprungliga nedladdningen från mappen Nedladdningar och presenterar ett felmeddelande som hoppas kunna övertyga användarna om att filen "inte kunde öppnas."
Lite vet de att skadlig programvara har lagt till sig själv som ett inloggningsobjekt med namnet "AppStore", som körs automatiskt när de startar sina Mac -datorer först. Den kommer att fortsätta att köras varje gång en infekterad Mac startas tills den har installerat sin nyttolast.
“Den skadliga applikationen skapar sedan ett fönster ovanpå alla andra fönster. Det här nya fönstret innehåller ett meddelande som hävdar att ett säkerhetsproblem har identifierats i driften systemet att en uppdatering är tillgänglig och att för att fortsätta med uppdateringen måste användaren ange en Lösenord."
När du väl har fått denna popup kan du inte göra någonting med din Mac förrän du godkänner att installera den falska uppdateringen. Och naturligtvis, genom att ange ditt lösenord ger skadlig programvara administratörsrättigheter och det kan fortsätta nästa fas av överfallet.
Det inkluderar att installera en pakethanterare som laddar ner och installerar ytterligare verktyg och ger det befintliga användarkontot administratörsrättigheter omedelbart utan att behöva ange ett lösenord. Det ändrar också nätverksinställningar för att säkerställa att alla utgående anslutningar passerar genom en proxy.
Vad OSX/Dok Mac trojan gör
Naturligtvis sitter denna proxy på en skadlig server på den "mörka webben", och varje bit av data som passerar genom den samlas in.
"Som ett resultat av alla ovanstående åtgärder, vid ett försök att surfa på webben, kommer användarens webbläsare först att fråga angriparens webbsida på TOR om proxyinställningar", säger Check Point.
”Användartrafiken omdirigeras sedan genom en proxy som kontrolleras av angriparen, som utför en Man-In-the-Middle-attack och utger sig för de olika webbplatser som användaren försöker surfa på. Angriparen är fri att läsa offrets trafik och manipulera den på vilket sätt de vill. ”
När angriparen har fått den information de vill ha kommer skadlig programvara att ta bort sig själv från den infekterade datorn. Användaren har ingen aning om vad som hände i bakgrunden förrän det är för sent.
Via: The Hacker News
