iMagazine

Nowe malware na macOS, które dodatkowo obchodzi GateKeepera

28/04/2017, 15:00 · · · 2

Ofer Caspi, na łamach Check Point, opisał szczegóły związane z OSX/Dok, którego użytkownik musi sam zainstalować, ale nie jest ostrzegany o potencjalnym zagrożeniu przez zabezpieczenia Apple:

This new malware – dubbed OSX/Dok — affects all versions of OSX, has 0 detections on VirusTotal (as of the writing of these words), is signed with a valid developer certificate (authenticated by Apple), and is the first major scale malware to target OSX users via a coordinated email phishing campaign.

Zainfekowany komputer daje hackerowi dostęp do całej komunikacji użytkownika, w tym szyfrowanej po SSL – używany jest do tego celu pośredniczący proxy.

OSX/Dok rozprowadzany jest przez w pliku ZIP (np. Dokument.zip) i po rozpakowaniu, instaluje się do folderu /Users/Shared, skąd uruchomi komendę chmod, aby nadać wszystkim prawda do jego uruchamiania, po 5 sekundach usunie swoją kopię z ~/Downloads/, a następnie uruchomi się z nowej lokalizacji. Następnie wyświetli komunikat o tym, że Dokument.zip jest uszkodzony i nie może zostać otworzony, a potem doda się do Login Items, aby uruchamiać się automatycznie po zalogowaniu. Ostatnim krokiem jest wyświetlenie pełnoekranowego okna z informacją o tym, że są dostępne aktualizacje dla macOS (o treści: „OS X Updates Available”). Użytkownik w tym czasie nie ma możliwości zamknięcia tego okna ani przełączenia się do innego programu. Jeśli użytkownik kliknie w Update all, to zostanie poproszony o hasło administratora, a OSX/Dok dokończy swoją instalację i uzyska prawa wspomnianego admina. Malware następnie instaluje brew, TOR i SOCAT oraz da wyłączy konieczność potwierdzania istotnych działań hasłem admina. Następnym krokiem jest dodanie proxy do ustawień sieciowych oraz certyfikatu z prawami roota, co pozwoli hackerowi podszyć się pod inne serwisy internetowe, oraz dodanie dwóch pozycji do LaunchAgents: /Users/_%User%_/Library/LaunchAgents/com.apple.Safari.proxy.plist/Users/_%User%_/Library/LaunchAgents/com.apple.Safari.pac.plist.

To wszystko powoduje, że ruch z komputera użytkownika będzie kierowany przez proxy atakującego, co pozwoli mu na atak man in the middle. Sam malware jest podpisany certyfikatem dewelopera, który został autoryzowany przez Apple – z tego powodu GateKeeper nie pełni swojej funkcji, chroniąc użytkownika przed złą decyzją.

Zasada nr 1: Nie otwierajcie dokumentów z nieznanego pochodzenia albo takich, których się nie spodziewacie.

2

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki i zwinne samochody. Niedawno rozpocząłem prowadzenie kursów Lightrooma i fotografii na Pikselowe.pl – zapraszam.

morid1n

Dodaj komentarz

MiL napisał(a):

Czyli taki ręczny wirus :)

literate napisał(a):

jeżeli ktoś wpisuje hasło po takim komunikacie. to może nawet lepiej, że oberwie po głowie i będzie miał nauczkę. ;)

Jeśli chcesz wesprzeć redakcję iMagazine, podoba Ci się nasza praca, to zapraszamy do iMag Weekly

dołącz

W archiwum iMag Weekly znajdziecie ponad 500 felietonów, artykułów, recenzji, opisów, przepisów oraz relacji z podróży – w sumie do przeczytania jest ponad 500 tysięcy słów. Wykupienie dostępu do niego jest „dożywotnie” (czyli tak długo jak będzie funkcjonował iMagazine) i wystarczy to zrobić raz. Nasz tygodnik był wydawany do dnia 27/01/2017.

Osoby, które miały wykupioną jakąkolwiek subskrypcję otrzymały pełny dostęp do archiwum.