Die Forscher haben eine neue Probe von Mac Malware ausgegraben, die bisher immer ausgefeilten und heimtückischer als entdeckten Stücke. Die Malware wurde OSX.Dok oder Dok Malware genannt, und wurde in Angriffe auf europäische Nutzern genutzt, über überzeugende gefälschte E-Mails gezielt. Die verdächtige E-Mail Anhang die Malware trägt, ist Dokument.zip.
OSX.Dok Technischer Überblick
Die gezielte Benutzer wird in die Öffnung des Befestigungs Dokument.zip gelockt, die in der Tat ist eine Anwendung kein Dokument. Im Fall wirken die potentiellen Opfer mit ihm, mehr stillen Veränderungen statt auf ihrem System. Das Ende Ziel ist der Aufbau eines bösartigen Proxy-Server, die den Angreifer ermöglichen, vollständigen Zugriff auf die gesamte Kommunikation des Opfers zu gewinnen.
Malwarebytes Forscher sagen, dass OSX.Dok ausgefeilte Methoden nutzt alle HTTP und HTTPS-Datenverkehr zu und von dem infizierten Mac-Rechner zu überwachen und möglicherweise ändern. Die Malware könnte den Fang von Kontoanmeldeinformationen der Lage sein, für Websites Benutzer melden Sie sich. Dies könnte auf verschiedene negative Ergebnisse einschließlich Diebstahl von Geld oder Daten führen. Weiter, die Malware könnten die gesendeten und empfangenen Daten ändern, so dass Benutzer auf schädliche Websites umgeleitet werden.
Zusamenfassend, die Infektion Prozess geht so:
- Die potenziellen Opfer läuft das Dokument jedoch nicht öffnen.
- Eine gefälschte Meldung zeigt sich, dass die Datei beschädigt ist oder verwendet eine nicht erkennbare Dateiformat.
- In der Zwischenzeit, die Malware kopiert sich in das Verzeichnis / Users / Shared / Ordner und fügt sich die Anmeldeobjekte des Benutzers.
- Auf diese Weise wird es wieder zu öffnen, bei der nächsten Anmeldung und wird den Prozess der Infektion des gezielten Mac weiter.
- Sobald dies geschehen ist, eine andere gefälschte Eingabeaufforderung angezeigt, das Opfer Drängen eines kritischen OS-Update zu installieren, die nicht verschwinden, bis das Opfer auf dem Alles aktualisieren Schaltfläche klickt und das Admin-Passwort eingeben.
Weiter unten in der Infektionskette, OSX.Dok die / privaten / etc / sudoers-Datei ändern verlängerte Erlaubnis auf Stammebene zu erhalten, ohne dass der Benutzer aufgefordert sein Admin-Passwort jedes Mal eingeben. Die Malware installiert auch mehrere macOS Kommandozeilen-Tools dev. TOR und socat ebenfalls installiert, sowie ein neues vertrauenswürdiges Stammzertifikat im System. Auf diese Weise die Malware jede Website ausgeben können.
Der letzte Schritt ist hier der Selbstlösch. Die Malware löscht sich aus der /Users / Shared / Mappe.
Leider, dies ist nicht die einzige Instanz der Malware-Forscher gefangen. Eine andere Variante verwendet nicht die gefälschte OS X Update-Routine, sondern installiert eine Open-Source-Backdoor-Bella genannt. Bella ist auf GitHub.
Mitigations gegen OSX.Dok
Zum Glück, das gültige Entwicklerzertifikat von der Malware verwendet wird von Apple widerruft. Dies bedeutet, dass potenzielle neue Opfer werden nicht betroffen sein, da sie nicht in der Lage sein werden, die Anwendung zu öffnen. Dies verhindert nicht neue Versionen der Malware von ein neues Zertifikat zuweisen, obwohl.
Opfer der Malware sollten die Festplatte und das System wieder aus einer Sicherung zur Verfügung aus der Zeit vor der Infektion löschen. Wenn der Benutzer nicht technisch versierte, sie sollten prüfen, durch Befragen eines Sachkundigen.
Außerdem, Forscher sagen, dass die Malware durch Entfernen der beiden entfernt werden kann LaunchAgents- Dateien. Jedoch, es kann übrig gebliebene Dateien und Modifikationen, die nicht leicht sein wird, umkehren.