Nowe malware na macOS, które dodatkowo obchodzi GateKeepera →
Ofer Caspi, na łamach Check Point, opisał szczegóły związane z OSX/Dok, którego użytkownik musi sam zainstalować, ale nie jest ostrzegany o potencjalnym zagrożeniu przez zabezpieczenia Apple:
This new malware – dubbed OSX/Dok — affects all versions of OSX, has 0 detections on VirusTotal (as of the writing of these words), is signed with a valid developer certificate (authenticated by Apple), and is the first major scale malware to target OSX users via a coordinated email phishing campaign.
Zainfekowany komputer daje hackerowi dostęp do całej komunikacji użytkownika, w tym szyfrowanej po SSL – używany jest do tego celu pośredniczący proxy.
OSX/Dok rozprowadzany jest przez w pliku ZIP (np. Dokument.zip) i po rozpakowaniu, instaluje się do folderu /Users/Shared, skąd uruchomi komendę chmod, aby nadać wszystkim prawda do jego uruchamiania, po 5 sekundach usunie swoją kopię z ~/Downloads/, a następnie uruchomi się z nowej lokalizacji. Następnie wyświetli komunikat o tym, że Dokument.zip jest uszkodzony i nie może zostać otworzony, a potem doda się do Login Items, aby uruchamiać się automatycznie po zalogowaniu. Ostatnim krokiem jest wyświetlenie pełnoekranowego okna z informacją o tym, że są dostępne aktualizacje dla macOS (o treści: „OS X Updates Available”). Użytkownik w tym czasie nie ma możliwości zamknięcia tego okna ani przełączenia się do innego programu. Jeśli użytkownik kliknie w Update all, to zostanie poproszony o hasło administratora, a OSX/Dok dokończy swoją instalację i uzyska prawa wspomnianego admina. Malware następnie instaluje brew, TOR i SOCAT oraz da wyłączy konieczność potwierdzania istotnych działań hasłem admina. Następnym krokiem jest dodanie proxy do ustawień sieciowych oraz certyfikatu z prawami roota, co pozwoli hackerowi podszyć się pod inne serwisy internetowe, oraz dodanie dwóch pozycji do LaunchAgents: /Users/_%User%_/Library/LaunchAgents/com.apple.Safari.proxy.plist i /Users/_%User%_/Library/LaunchAgents/com.apple.Safari.pac.plist.
To wszystko powoduje, że ruch z komputera użytkownika będzie kierowany przez proxy atakującego, co pozwoli mu na atak man in the middle. Sam malware jest podpisany certyfikatem dewelopera, który został autoryzowany przez Apple – z tego powodu GateKeeper nie pełni swojej funkcji, chroniąc użytkownika przed złą decyzją.
Zasada nr 1: Nie otwierajcie dokumentów z nieznanego pochodzenia albo takich, których się nie spodziewacie.
Wojtek Pietrusiewicz
Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.
Komentarze: 2
Czyli taki ręczny wirus :)
jeżeli ktoś wpisuje hasło po takim komunikacie. to może nawet lepiej, że oberwie po głowie i będzie miał nauczkę. ;)