Les chercheurs ont mis au jour un nouvel échantillon de Mac Malware qui est plus sophistiqué et insidieux que des morceaux précédemment découverts. Le logiciel malveillant a été surnommé OSX.Dok ou Dok Malware, et a été utilisé dans les attaques contre les utilisateurs européens, ciblé par e-mails faux convaincants. La pièce jointe suspecte portant le malware est Dokument.zip.
OSX.Dok Présentation technique
L'utilisateur ciblé est attiré dans l'ouverture de la fixation Dokument.zip qui est en fait une application non un document. Dans le cas où la victime potentielle interagit avec elle, plusieurs changements silencieux auront lieu sur leur système. L'objectif final est ici la configuration d'un serveur proxy malveillant, ce qui pourrait permettre à l'attaquant d'obtenir un accès complet à toutes les communications de la victime.
Malwarebytes chercheurs disent que OSX.Dok utilise des méthodes sophistiquées pour surveiller et modifier potentiellement tout le trafic HTTP et HTTPS vers et depuis la machine Mac infecté. Le logiciel malveillant pourrait être capable de capturer les informations d'identification de compte pour les utilisateurs de se connecter à des sites Web. Cela pourrait conduire à divers résultats négatifs, y compris le vol d'argent ou de données. En outre, le logiciel malveillant pourrait modifier les données envoyées et reçues afin que les utilisateurs sont redirigés vers des sites Web malveillants.
En bref, le processus d'infection va comme ceci:
- La victime potentielle court le document, mais il ne s'ouvre pas.
- Une notification fausse montre en disant que le fichier est endommagé ou utilise un format de fichier méconnaissable.
- Pendant ce temps, les copies lui-même des logiciels malveillants au / Users / Shared / et s'ajoute aux éléments de connexion de l'utilisateur.
- De cette façon, il rouvrira à la prochaine connexion et poursuivra le processus d'infecter le Mac ciblé.
- Une fois cela fait, une autre invite faux est affiché demandant la victime d'installer une mise à jour du système d'exploitation critique qui ne disparaîtra pas tant que la victime clique sur le bouton Update All et entrez le mot de passe admin.
En outre la chaîne d'infection, OSX.Dok modifiera le fichier / privé / etc / sudoers pour obtenir l'autorisation de niveau racine prolongée sans avoir besoin de demander à l'utilisateur d'entrer son mot de passe admin chaque fois. Le malware installe également plusieurs outils de dev ligne de commande macos. TOR et IACS sont également installés, ainsi qu'un nouveau certificat racine de confiance dans le système. De cette façon, le logiciel malveillant peut usurper l'identité d'un site Web.
La dernière étape est ici l'auto-suppression. Le logiciel malveillant se supprime de la /Users / Shared / dossier.
Malheureusement, ce n'est pas le seul exemple des logiciels malveillants pris par des chercheurs. Une autre variante n'utilise pas le faux OS de routine de mise à jour de X, mais installe une porte dérobée à la place open source baptisée Bella. Bella est disponible sur GitHub.
Atténuations contre OSX.Dok
Heureusement, le certificat valide de développeur employé par le logiciel malveillant a été révoqué par Apple. Cela signifie que de nouvelles victimes potentielles ne seront pas affectés car ils ne seront pas en mesure d'ouvrir l'application. Cela ne l'empêche pas de nouvelles versions du logiciel malveillant d'affecter un nouveau certificat, bien que.
Les victimes du malware doivent effacer le disque dur et restaurer le système à partir d'une sauvegarde disponible à partir avant que l'infection. Si l'utilisateur n'est pas technophile, ils devraient envisager de contacter un expert.
En outre, les chercheurs disent que peut être supprimé le logiciel malveillant en supprimant les deux LaunchAgents fichiers. Cependant, il peut y avoir des fichiers restants et des modifications qui ne seront pas faciles à inverser.