I ricercatori hanno portato alla luce un nuovo campione di malware per Mac, che è più sofisticato e insidioso di pezzi precedentemente scoperto. Il malware è stato soprannominato OSX.Dok o Dok Malware, ed è stato utilizzato in attacchi contro gli utenti europei, mirato tramite email fasulle convincenti. L'allegato e-mail sospette che trasporta il malware è Dokument.zip.
OSX.Dok Panoramica tecnica
L'utente di destinazione è spinto ad aprire l'allegato Dokument.zip che è in realtà un non domanda un documento. Nel caso in cui la vittima potenziale interagisce con esso, diversi cambiamenti silenziosi si terrà il loro sistema. L'obiettivo finale qui è la configurazione di un server proxy dannoso, che potrebbe consentire al malintenzionato di ottenere accesso completo a tutte le comunicazioni della vittima.
Malwarebytes ricercatori dicono che OSX.Dok utilizza metodi sofisticati per monitorare e potenzialmente alterare tutti HTTP e HTTPS traffico da e verso la macchina Mac infetto. Il malware potrebbe essere in grado di catturare le credenziali dell'account per gli utenti di siti web log in. Questo potrebbe portare a diversi risultati negativi, tra cui furto di denaro o dati. Inoltre, il malware potrebbe modificare i dati inviati e ricevuti in modo che gli utenti vengono reindirizzati a siti web malevoli.
In breve, il processo di infezione va come questa:
- La potenziale vittima gestisce il documento, ma non si apre.
- Una notifica falso si presenta dicendo che il file è danneggiato o utilizza un formato di file non riconoscibile.
- Nel frattempo, i si di malware copia alla / Users / Shared / cartella e si integra al elementi di login degli utenti.
- In questo modo si riaprirà al login successivo e continuerà il processo di infettare Mac mirato.
- Una volta fatto questo, un altro prompt falso viene visualizzato sollecitando la vittima di installare un aggiornamento critico del sistema operativo, che non scomparirà fino a quando la vittima fa clic sul pulsante Aggiorna tutto e inserire la password di amministratore.
Proseguendo lungo la catena di infezione, OSX.Dok sarà modificare il file / private / etc / sudoers per ottenere il permesso di livello root prolungata senza la necessità di richiedere all'utente di inserire il suo password di amministratore ogni volta. Il malware installa anche diversi strumenti di sviluppo della riga di comando MacOS. TOR e socat vengono installati anche, così come un nuovo certificato principale attendibile nel sistema. In questo modo il malware può impersonare qualsiasi sito web.
L'ultimo passo è l'auto-eliminazione. Il malware si elimina dal /Users / Shared / cartella.
Sfortunatamente, questo non è l'unico caso del malware catturato dai ricercatori. Un'altra variante non utilizzare l'aggiornamento X routine di OS falso ma invece installa una backdoor open source doppiato Bella. Bella è disponibile su GitHub.
Fattori attenuanti contro OSX.Dok
Per fortuna, il certificato sviluppatore valido impiegato dal malware è stato revocato da Apple. Ciò significa che i potenziali nuove vittime non saranno interessati in quanto non saranno in grado di aprire l'applicazione. Questo non si ferma di nuove versioni del malware di assegnare un nuovo certificato, anche se.
Le vittime del malware dovrebbero cancellare il disco rigido e ripristinare il sistema da un backup disponibile prima che l'infezione. Se l'utente non è esperto di tecnologia, dovrebbero considerare contattare un esperto.
In aggiunta, i ricercatori dicono che il malware può essere rimosso togliendo le due LaunchAgents file. Tuttavia, ci possono essere file rimasti e modifiche che non sarà facile per invertire.