Μάθαμε πρόσφατα πως τα ποσοστά των macOS malware έχουν μεγαλώσει και μάλιστα κατά πολύ φτάνοντας το 744% πέρυσι. Τα περισσότερα βέβαια μέχρι στιγμής τουλάχιστον πέφτουν στην όχι και τόσο ανησυχητική κατηγορία του adware.
Πάρα αυτά ένα νέο malware που ανακαλύφτηκε πρόσφατα είναι πολύ σοβαρό και μπορεί να κατασκοπεύει όλη την οnline δραστηριότητα του χρήστη.
Οι ερευνητές ασφαλείας της checkpoint βρήκαν κάτι που το ονόμασαν OSX/Dok, και το οποίο μπορεί να μην εντοπισθεί από το Gatekeeper και αναγκάζει τους χρήστες να κάνουν λήψη μια ψεύτικης OS X αναβάθμισης.
Το OSX/Dok ξεκινάει από μια κοινή phishing επίθεση. Τα θύματα δέχονται ένα email που υποστηρίζει πως είναι από την εφορία και τους ζητάει να ανοίξουν ένα zip αρχείο – Αυτό τουλάχιστον είναι το σενάριο που βρήκε πρόσβαση στην Αμερική.
Το malware έπειτα χρησιμοποιεί μια πολύ έξυπνη τακτική – Κάνει εγκατάσταση ενός Login με την ονομασία AppStore που αυτόματα σημαίνει πως εκτελείτε αυτόματα κάθε φορά που κάνει boot το Mac. Εν συνεχεία περιμένει λίγο και παρουσιάζει ένα ψεύτικο παράθυρο macOS αναβάθμισης στον χρήστη.
Οι χρήστες δεν μπορούν να κάνουν κάτι άλλο στο μηχάνημα τους μέχρι να βάλουν τον κωδικό τους και να επιτρέψουν την εγκατάσταση του malware. Με το που γίνει αυτό το malware αποκτάει δικαιώματα διαχειριστή στο μηχάνημα του χρήστη.
Δεν σταματάει όμως εκεί μιας και αλλάζει τις ρυθμίσεις δικτύου και έτσι ότι κάνει ο χρήστης οnline ακόμη και μέσω ασφαλών server θα περάσει από τον proxy του διαχειριστή του malware.
As a result of all of the above actions, when attempting to surf the web, the user’s web browser will first ask the attacker web page on TOR for proxy settings. The user traffic is then redirected through a proxy controlled by the attacker, who carries out a Man-In-the-Middle attack and impersonates the various sites the user attempts to surf. The attacker is free to read the victim’s traffic and tamper with it in any way they please.
O λόγος που το εν λόγω malware ξεπερνάει την ασφάλεια που παρέχει το Gatekeeper είναι γιατί στην αρχή του έχει ένα έγκυρο πιστοποιητικό προγραμματιστή.
Τα καλά νέα και με βάση το παραπάνω είναι πως η Apple θα μπορέσει εύκολα να ακυρώσει αυτό το πιστοποιητικό – τα δυσάρεστα νέα είναι πως αυτό δεν θα εμποδίσει τους δημιουργούς του malware να βρουν κάποιο άλλο.
