研究者は、以前に発見されたものよりも洗練された陰湿なMacマルウェアの新しいサンプルを発掘しました. マルウェアはOSX.DokまたはDokMalwareと呼ばれています, ヨーロッパのユーザーへの攻撃に使用されています, 説得力のある偽の電子メールを介してターゲットにされる. マルウェアを含む疑わしい電子メールの添付ファイルはDokument.zipです.
OSX.Dokの技術概要
ターゲットユーザーは、実際にはドキュメントではなくアプリケーションであるDokument.zip添付ファイルを開くように誘惑されます. 潜在的な被害者がそれと相互作用する場合, いくつかのサイレント変更がシステムで行われます. ここでの最終目標は、悪意のあるプロキシサーバーのセットアップです, これにより、攻撃者は被害者のすべての通信に完全にアクセスできるようになる可能性があります.
Malwarebytesの研究者によると、OSX.Dokは高度な方法を使用して、感染したMacマシンとの間のすべてのHTTPおよびHTTPSトラフィックを監視し、潜在的に変更します。. このマルウェアは、ユーザーがログインするWebサイトのアカウント資格情報を取得できる可能性があります. これは、お金やデータの盗難など、さまざまな悪影響につながる可能性があります. さらに, マルウェアは、ユーザーが悪意のあるWebサイトにリダイレクトされるように、送受信されたデータを変更する可能性があります.
要するに, 感染プロセスは次のようになります:
- 潜在的な被害者はドキュメントを実行しますが、開かれません.
- ファイルが破損しているか、認識できないファイル形式を使用しているという偽の通知が表示されます.
- その間, マルウェアは自分自身を/Users/ Shared /フォルダーにコピーし、ユーザーのログイン項目に自分自身を追加します.
- このようにして、次回のログイン時に再び開き、対象のMacに感染するプロセスを続行します.
- これが行われると, 別の偽のプロンプトが表示され、被害者に重要なOSアップデートをインストールするように促します。このアップデートは、被害者が[すべて更新]ボタンをクリックして管理者パスワードを入力するまで消えません。.
感染チェーンのさらに下流, OSX.Dokは、/ private / etc / sudoersファイルを変更して、ユーザーに毎回管理者パスワードの入力を求めることなく、rootレベルの長期アクセス許可を取得します。. このマルウェアは、いくつかのmacOSコマンドライン開発ツールもインストールします. TORとSOCATもインストールされています, システム内の新しい信頼されたルート証明書. このようにして、マルウェアは任意のWebサイトになりすますことができます.
ここでの最後のステップは自己削除です. マルウェアは自分自身をから削除します /ユーザー/共有/ フォルダ.
不運にも, 研究者が捕らえたマルウェアの例はこれだけではありません. 別の亜種は、偽のOS X更新ルーチンを使用せず、代わりにBellaと呼ばれるオープンソースのバックドアをインストールします。. BellaはGitHubで入手できます.
OSX.Dokに対する緩和策
幸運, マルウェアによって使用された有効な開発者証明書がAppleによって取り消されました. これは、潜在的な新しい被害者がアプリケーションを開くことができないため、影響を受けないことを意味します. これは、マルウェアの新しいバージョンが新しい証明書を割り当てるのを阻止しません, けれど.
マルウェアの被害者は、ハードドライブを消去し、感染前から利用可能なバックアップからシステムを復元する必要があります. ユーザーが技術に精通していない場合, 彼らは専門家に連絡することを検討する必要があります.
加えて, 研究者は、マルウェアは2つを削除することで削除できると言います LaunchAgents ファイル. でも, 取り消すのが簡単ではないファイルや変更が残っている可能性があります.