Los investigadores han descubierto una nueva muestra de malware para Mac que es más sofisticado e insidioso que las piezas descubiertas anteriormente. El malware se ha denominado OSX.Dok o Dok malware, y se ha utilizado en los ataques a los usuarios europeos, dirigida a través de correos electrónicos falsos convincentes. El archivo adjunto de correo electrónico sospechoso que lleva el malware es Dokument.zip.
Descripción técnica general OSX.Dok
El usuario objetivo es inducido a abrir el archivo adjunto Dokument.zip que no es de hecho una aplicación un documento. En caso de que la víctima potencial interactúa con él, varios cambios silenciosos se llevarán a cabo en su sistema. El objetivo final aquí es la configuración de un servidor proxy malicioso, lo que podría permitir al atacante obtener acceso completo a todas las comunicaciones de la víctima.
Malwarebytes investigadores dicen que OSX.Dok utiliza métodos sofisticados para controlar y alterar potencialmente toda tráfico HTTP y HTTPS hacia y desde la máquina infectada Mac. El malware podría ser capaz de capturar las credenciales de cuenta para los usuarios inician sesión en sitios web. Esto podría dar lugar a diversos resultados negativos, como el robo de dinero o de datos. Además, el programa malicioso podría modificar los datos enviados y recibidos de manera que los usuarios son redirigidos a sitios web maliciosos.
En breve, el proceso de infección es la siguiente:
- La posible víctima corre el documento, pero no se abre.
- Una notificación falsa aparece indicando que el archivo está dañado o utiliza un formato de archivo irreconocible.
- Mientras tanto, los ejemplares de malware en sí a los usuarios Común / carpeta / / y se agrega a los elementos de inicio de sesión del usuario.
- De esta manera se volverá a abrir en el próximo inicio de sesión y continuará el proceso de infectar al Mac apuntado.
- Una vez hecho esto, otro mensaje falso aparece instando a la víctima para instalar una actualización del sistema operativo crítico que no desaparecerá hasta que la víctima hace clic en el botón Actualizar todo e introduzca la contraseña de administrador.
Más abajo en la cadena de infección, OSX.Dok modificará el archivo / etc / sudoers / privadas para obtener el permiso prolongado de nivel raíz, sin necesidad de pedir al usuario que introduzca su contraseña de administrador cada vez. El malware también instala varias herramientas de línea de comandos dev MacOS. TOR y SOCAT también se instalan, así como un nuevo certificado raíz de confianza en el sistema. De esta manera el malware puede suplantar a cualquier sitio web.
El último paso aquí es la auto-eliminación. El malware se borra a sí mismo desde el /Users / Shared / carpeta.
Desafortunadamente, este no es el único caso de que el malware capturado por los investigadores. Otra variante no utiliza la rutina de actualización de OS X falsa sino que instala una puerta trasera de código abierto llamado Bella. Bella está disponible en GitHub.
Mitigaciones contra OSX.Dok
Afortunadamente, el certificado de desarrollador válida empleado por el malware ha sido revocado por Apple. Esto significa que las posibles nuevas víctimas no se verán afectados, ya que no será capaz de abrir la aplicación. Esto no impide que las nuevas versiones del malware de la asignación de un nuevo certificado, aunque.
Víctimas del malware se deben borrar el disco duro y restaurar el sistema a partir de una copia de seguridad disponible desde antes de la infección. Si el usuario no es experto en tecnología, deben considerar ponerse en contacto con un experto.
Adicionalmente, los investigadores dicen que el malware puede ser eliminado mediante la eliminación de los dos LaunchAgents archivos. Sin embargo, puede haber restos de archivos y modificaciones que no serán fáciles de revertir.