Os pesquisadores descobriram uma nova amostra de malware do Mac que é mais sofisticada e insidiosa do que as peças descobertas anteriormente. O malware foi apelidado de malware OSX.Dok ou Dok, e tem sido usado em ataques a usuários europeus, direcionado por meio de e-mails falsos convincentes. O anexo de e-mail suspeito que contém o malware é Dokument.zip.
Visão geral técnica OSX.Dok
O usuário-alvo é atraído a abrir o anexo Dokument.zip, que na verdade é um aplicativo, não um documento. Caso a potencial vítima interaja com ele, várias mudanças silenciosas ocorrerão em seu sistema. O objetivo final aqui é a configuração de um servidor proxy malicioso, o que pode permitir que o invasor obtenha acesso completo a todas as comunicações da vítima.
Os pesquisadores do Malwarebytes dizem que o OSX.Dok usa métodos sofisticados para monitorar e potencialmente alterar todo o tráfego HTTP e HTTPS de e para a máquina Mac infectada. O malware pode ser capaz de capturar as credenciais da conta para os usuários de sites que fazem login. Isso pode levar a vários resultados negativos, incluindo roubo de dinheiro ou dados. além disso, o malware pode modificar os dados enviados e recebidos para que os usuários sejam redirecionados para sites maliciosos.
Em resumo, o processo de infecção é assim:
- A vítima potencial executa o documento, mas ele não abre.
- Uma notificação falsa aparece dizendo que o arquivo está danificado ou usa um formato de arquivo irreconhecível.
- Enquanto isso, o malware se copia para a pasta / Usuários / Compartilhado / e se adiciona aos itens de login do usuário.
- Dessa forma, ele será reaberto no próximo login e continuará o processo de infecção do Mac de destino.
- Uma vez feito isso, outro prompt falso é exibido pedindo à vítima para instalar uma atualização crítica do sistema operacional que não irá desaparecer até que a vítima clique no botão Atualizar tudo e digite a senha do administrador.
Mais abaixo na cadeia de infecção, OSX.Dok modificará o arquivo / private / etc / sudoers para obter permissão de nível de root prolongada sem a necessidade de solicitar que o usuário digite sua senha de administrador todas as vezes. O malware também instala várias ferramentas de desenvolvimento de linha de comando do macOS. TOR e SOCAT também estão instalados, bem como um novo certificado raiz confiável no sistema. Dessa forma, o malware pode se passar por qualquer site.
A última etapa aqui é a auto-exclusão. O malware se exclui do /Usuários / compartilhados / pasta.
Infelizmente, esta não é a única instância do malware detectada pelos pesquisadores. Outra variante não usa a rotina de atualização do OS X falsa, mas instala um backdoor de código aberto chamado Bella. Bella está disponível no GitHub.
Mitigações contra OSX.Dok
Felizmente, o certificado de desenvolvedor válido empregado pelo malware foi revogado pela Apple. Isso significa que novas vítimas em potencial não serão afetadas, pois não poderão abrir o aplicativo. Isso não impede que novas versões do malware atribuam um novo certificado, Apesar.
As vítimas do malware devem apagar o disco rígido e restaurar o sistema a partir de um backup disponível antes da infecção. Se o usuário não tiver experiência em tecnologia, eles devem considerar entrar em contato com um especialista.
além do que, além do mais, pesquisadores dizem que o malware pode ser removido removendo os dois LaunchAgents arquivos. Contudo, pode haver arquivos restantes e modificações que não serão fáceis de reverter.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: