OSX/Dok มัลแวร์ “มาตราส่วนหลัก” สายพันธุ์ใหม่ที่กำหนดเป้าหมายไปยังผู้ใช้ macOS สามารถเลี่ยงคุณสมบัติ Gatekeeper ที่ออกแบบมาเพื่อบล็อกซอฟต์แวร์ที่เป็นอันตราย
โทรจันที่เพิ่งระบุใหม่ ซึ่งป้องกันไม่ให้คุณทำอะไรบน Mac ของคุณจนกว่าคุณจะติดตั้งการอัปเดตซอฟต์แวร์ปลอม จะตรวจไม่พบโดยโปรแกรมป้องกันไวรัสหลายโปรแกรม
เมื่อฐานผู้ใช้ macOS เติบโตขึ้น มัลแวร์ที่กำหนดเป้าหมายก็เพิ่มขึ้นเช่นกัน จากข้อมูลของ McAfee Labs การโจมตีของมัลแวร์ที่ออกแบบมาสำหรับคอมพิวเตอร์ Mac เพิ่มขึ้น 744% ในปี 2559โดยมีการค้นพบตัวอย่างเกือบ 460,000 ตัวอย่าง ล่าสุดน่าเป็นห่วงเป็นพิเศษ
ค้นพบโดยการวิจัยด้านความปลอดภัยที่ จุดตรวจ, OSX/Dok ใช้ได้กับ macOS และ OS X ทุกเวอร์ชัน ฐานข้อมูลแอนตี้ไวรัสไม่รู้จักเมื่อถูกค้นพบครั้งแรก และถือเป็น “มัลแวร์รายใหญ่” รายแรกที่กำหนดเป้าหมายผู้ใช้ Mac
มัลแวร์ OSX/Dok กำหนดเป้าหมาย Mac ทั้งหมด
ด้านที่ลำบากที่สุดของมัลแวร์นี้? มีการลงนามด้วยใบรับรองนักพัฒนาที่ถูกต้องซึ่งได้รับการรับรองโดย Apple ซึ่งหมายความว่า macOS จะไม่มองว่าเป็นภัยคุกคามและไม่ได้ถูกบล็อกโดย Gatekeeper ใบรับรองลงวันที่ 21 เมษายน 2017
“เมื่อการติดไวรัส OSX/Dok เสร็จสมบูรณ์ ผู้โจมตีจะสามารถเข้าถึงการสื่อสารของเหยื่อทั้งหมดได้อย่างสมบูรณ์ รวมถึงการสื่อสารที่เข้ารหัสโดย SSL” Check Point อธิบาย “ทำได้โดยการเปลี่ยนเส้นทางการรับส่งข้อมูลของเหยื่อผ่านพร็อกซีเซิร์ฟเวอร์ที่เป็นอันตราย”
มัลแวร์มีการกระจายในยุโรปเป็นหลักผ่านอีเมลฟิชชิ่ง ซึ่งสนับสนุนให้ผู้ใช้ดาวน์โหลดไฟล์ที่มีรายละเอียดที่กล่าวหาว่าไม่สอดคล้องกันในการคืนภาษี ไฟล์นั้นมีชื่อว่า “Dokument.zip” เมื่อแจกจ่ายให้กับผู้ใช้ในเยอรมนี
มัลแวร์ OSX/Dok Mac ทำงานอย่างไร
เมื่อคุณเปิดมัน มัลแวร์จะคัดลอกตัวเองไปยังโฟลเดอร์ /Users/Shared จากนั้นจะดำเนินการทำงานเองโดยอัตโนมัติ นอกจากนี้ยังลบร่องรอยของการดาวน์โหลดดั้งเดิมออกจากโฟลเดอร์ Downloads และแสดงข้อความแสดงข้อผิดพลาดที่หวังว่าจะโน้มน้าวผู้ใช้ว่าไฟล์ "ไม่สามารถเปิดได้"
พวกเขารู้น้อยว่ามัลแวร์ได้เพิ่มตัวเองเป็นรายการเข้าสู่ระบบด้วยชื่อ "AppStore" ซึ่งทำงานโดยอัตโนมัติเมื่อเปิดเครื่อง Mac เป็นครั้งแรก มันจะทำงานต่อไปทุกครั้งที่มีการเริ่มต้น Mac ที่ติดไวรัส จนกว่าจะติดตั้งเพย์โหลดสำเร็จ
“โปรแกรมที่เป็นอันตรายจะสร้างหน้าต่างที่ด้านบนของหน้าต่างอื่นๆ ทั้งหมด หน้าต่างใหม่นี้มีข้อความที่อ้างว่ามีปัญหาด้านความปลอดภัยในระบบปฏิบัติการ ระบบที่มีการอัปเดต และเพื่อดำเนินการอัปเดต ผู้ใช้ต้องป้อน a รหัสผ่าน."
เมื่อคุณได้รับป๊อปอัปนี้แล้ว คุณจะไม่สามารถทำอะไรกับ Mac ของคุณได้จนกว่าคุณจะตกลงที่จะติดตั้งการอัปเดตปลอม และแน่นอนว่าการป้อนรหัสผ่านของคุณจะทำให้มัลแวร์มีสิทธิ์ของผู้ดูแลระบบ และสามารถดำเนินการต่อในขั้นต่อไปของการโจมตีได้
ซึ่งรวมถึงการติดตั้งตัวจัดการแพ็คเกจที่ดาวน์โหลดและติดตั้งเครื่องมือเพิ่มเติม และให้สิทธิ์ผู้ดูแลระบบแก่บัญชีผู้ใช้ที่มีอยู่ทันทีโดยไม่จำเป็นต้องป้อนรหัสผ่าน นอกจากนี้ยังเปลี่ยนการตั้งค่าเครือข่ายเพื่อให้แน่ใจว่าการเชื่อมต่อขาออกทั้งหมดผ่านพร็อกซี
โทรจัน OSX/Dok Mac ทำอะไร
แน่นอน พร็อกซี่นั้นอยู่บนเซิร์ฟเวอร์ที่เป็นอันตรายบน "เว็บมืด" และข้อมูลทุกชิ้นที่ส่งผ่านจะถูกรวบรวม
“จากการกระทำทั้งหมดข้างต้น เมื่อพยายามท่องเว็บ เว็บเบราว์เซอร์ของผู้ใช้จะขอการตั้งค่าพร็อกซีจากหน้าเว็บของผู้โจมตีบน TOR ก่อน” Check Point กล่าว
“จากนั้น ทราฟฟิกของผู้ใช้จะถูกเปลี่ยนเส้นทางผ่านพร็อกซีที่ควบคุมโดยผู้โจมตี ซึ่งทำการโจมตีแบบ Man-In-the-Middle และแอบอ้างเป็นไซต์ต่างๆ ที่ผู้ใช้พยายามท่องเว็บ ผู้โจมตีมีอิสระที่จะอ่านการจราจรของเหยื่อและเข้าไปยุ่งเกี่ยวกับมันในทางใดทางหนึ่ง”
เมื่อผู้โจมตีได้รับข้อมูลที่ต้องการแล้ว มัลแวร์จะลบตัวเองออกจากเครื่องที่ติดไวรัส ผู้ใช้ไม่รู้ว่าเกิดอะไรขึ้นในเบื้องหลังจนกว่าจะสายเกินไป
ทาง: The Hacker News