Forskere har afdækket en ny prøve af Mac Malware, som er mere sofistikeret og lumsk end tidligere opdaget stykker. Den malware er blevet døbt OSX.Dok eller Dok malware, og har været anvendt i angreb på europæiske brugere, målrettet via overbevisende falske e-mails. Den mistænkelige e-mail vedhæftet fil bærer malware er Dokument.zip.
OSX.Dok Teknisk oversigt
Den målrettede bruger er lokket til at åbne Dokument.zip tilbehør, som er i virkeligheden en ansøgning ikke et dokument. I tilfælde af potentielle offer interagerer med det, flere tavse ændringer vil finde sted på deres system. Det endelige mål her er opsætningen af en ondsindet proxyserver, som kunne gøre det muligt for hackeren at få fuld adgang til al kommunikation af offeret.
Malwarebytes forskere siger, at OSX.Dok anvender avancerede metoder til at overvåge og potentielt ændre alle HTTP og HTTPS trafik til og fra den inficerede Mac-maskine. Den malware kunne være i stand til at opfange kontooplysninger til hjemmesider brugere logger ind. Dette kan føre til forskellige negative udfald, herunder tyveri af penge eller data. Endvidere, malware kunne ændre de sendte og modtagne data, så brugerne omdirigeres til ondsindede websteder.
Kort, infektionen processen går sådan her:
- Den potentielle offer kører dokumentet, men det åbner ikke.
- En falsk meddelelse dukker op at sige, at filen er beskadiget eller bruger en uigenkendelig filformat.
- I mellemtiden, malware kopierer sig selv til / Brugere / Fælles / mappe og tilføjer sig til brugerens log ind-emner.
- På denne måde vil det genåbne ved næste login og vil fortsætte processen med at inficere den målrettede Mac.
- Når dette er gjort, en anden falsk prompt vises opfordrer offeret til at installere en kritisk OS opdatering, som ikke vil forsvinde, før offeret klikker på Opdater alt knap og indtast administratoradgangskoden.
Længere nede infektionen kæde, OSX.Dok vil ændre / private / etc / sudoers fil for at opnå langvarig rod-niveau tilladelse uden at behøve at bede brugeren om at indtaste sin admin adgangskode hver eneste gang. Den malware installerer også flere MacOS kommando-line dev værktøjer. TOR og SOCAT er også installeret, samt en ny betroet rodcertifikat i systemet. På denne måde malware kan udgive en hjemmeside.
Det sidste skridt her er den selv-sletning. Den malware sletter sig fra /Brugere / Fælles / folder.
Desværre, dette er ikke det eneste tilfælde af malware fanget af forskere. En anden variant bruger ikke den falske OS X opdatering rutine, men i stedet installerer et open source bagdør døbt Bella. Bella er tilgængelig på GitHub.
Afhjælpninger mod OSX.Dok
Heldigvis, det gyldige udvikler certifikat ansat af malware er blevet tilbagekaldt af Apple. Det betyder, at potentielle nye ofre ikke vil blive påvirket, da de ikke vil være i stand til at åbne programmet. Dette stopper ikke nye versioner af malware fra at tildele et nyt certifikat, selv.
Ofre for malware bør slette harddisken og gendanne systemet fra en sikkerhedskopi tilgængelig fra før infektionen. Hvis brugeren ikke er tech-kyndige, de bør overveje at kontakte en ekspert.
Desuden, Forskerne siger, at malware kan fjernes ved at fjerne de to LaunchAgents filer. Men, der kan være sidesten filer og ændringer, som ikke vil være let at vende.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: