Onderzoekers hebben een nieuw monster van Mac Malware die meer geavanceerde en verraderlijker dan eerder ontdekte stukken opgegraven. De malware is genoemd OSX.Dok of Dok Malware, en is gebruikt in aanvallen op de Europese gebruikers, doelgerichte via overtuigend nep e-mails. De verdachte e-mailbijlage die de malware is Dokument.zip.
OSX.Dok Technisch overzicht
De beoogde gebruiker wordt gelokt openen Dokument.zip bevestiging die in feite een toepassing geen document. Indien de interactie mogelijk benadeelde ermee, een aantal stille veranderingen zal plaatsvinden op hun systeem. Het uiteindelijke doel hierbij is het opzetten van een kwaadwillige proxyserver, die de aanvaller in staat kan stellen om volledige toegang te krijgen tot alle communicatie van het slachtoffer.
Malwarebytes onderzoekers zeggen dat OSX.Dok maakt gebruik van geavanceerde methoden om toezicht te houden en mogelijk te veranderen alle HTTP- en HTTPS-verkeer van en naar de geïnfecteerde Mac machine. De malware zou geschikt voor het vastleggen accountreferenties voor websites gebruikers inloggen op. Dit zou kunnen leiden tot verschillende negatieve resultaten, inclusief diefstal van geld of data. Bovendien, de malware zou de verzonden en ontvangen gegevens te wijzigen, zodat gebruikers worden omgeleid naar kwaadaardige websites.
Kortom, de infectie proces gaat als volgt:
- De potentiële slachtoffer loopt het document, maar het wordt niet geopend.
- Een valse melding verschijnt zeggen dat het bestand is beschadigd of maakt gebruik van een onherkenbaar bestandsformaat.
- In de tussentijd, de malware kopieert het zichzelf naar de map / Users / Shared / map en voegt zich naar de gebruiker login items.
- Op deze manier zal heropenen bij de volgende login en zal het proces van het infecteren van de beoogde Mac blijven.
- Zodra dit is gebeurd, een andere nep prompt wordt weergegeven spoort het slachtoffer een kritische OS-update, die niet zal verdwijnen totdat het slachtoffer klikt op de knop Update All installeren en voer het beheerderswachtwoord.
Verderop in de infectie keten, OSX.Dok zal het bestand / private / etc / sudoers wijzigen om langdurige root-niveau toestemming te krijgen zonder dat de gebruiker wordt gevraagd zijn admin wachtwoord in te voeren elke keer. De malware installeert ook een aantal MacOS command-line dev gereedschappen. TOR en socat worden ook geïnstalleerd, evenals een nieuwe vertrouwd basiscertificaat in het systeem. Op deze manier de malware kan een website na te bootsen.
De laatste stap is hier de self-deletie. De malware verwijdert zich van de /Gebruikers / Gedeeld / map.
Helaas, dit is niet het enige geval van de malware gevangen door onderzoekers. Een andere variant maakt geen gebruik van de nep-OS X-update routine, maar in plaats daarvan installeert een open source backdoor genaamd Bella. Bella is beschikbaar op GitHub.
Beperkende factoren tegen OSX.Dok
Gelukkig, het geldige certificaat voor ontwikkelaars in dienst van de malware is ingetrokken door Apple. Dit betekent dat potentiële nieuwe slachtoffers niet zal worden beïnvloed, omdat zij niet in staat zal zijn om de toepassing te openen. Dit heeft geen nieuwe versies van de malware te stoppen van het toewijzen van een nieuw certificaat, hoewel.
Slachtoffers van de malware moet de harde schijf wissen en het systeem herstellen vanuit een back-up beschikbaar van voor de infectie. Als de gebruiker is niet tech-savvy, zij moeten overwegen contact brengen van een expert.
Bovendien, onderzoekers zeggen dat de malware kan worden verwijderd door het verwijderen van de twee LaunchAgents bestanden. Echter, er kunnen overgebleven bestanden en wijzigingen die niet gemakkelijk zullen worden afgewikkeld.