Pojawiło się nowe złośliwe oprogramowanie dla Maca, które obecnie bierze na cel przede wszystkim europejskich użytkowników.

Odkryte przez ekspertów bezpieczeństwa z firmy CheckPoint i nazwane przez nich OSX/Dok, jest w stanie ominąć zabezpieczenia Gatekeepera w macOS (oprogramowanie posiada ważny certyfikat deweloperski) i które szpieguje całą aktywność użytkownika komputera Mac w sieci.

Nie zmienia się jak zwykle sposób infekcji - musi je zainstalować sam użytkownik, który jest celem poprzedzającego ataku phishingowego. Specjalnie spreparowana wiadomość e-mail udaje informację z urzędu podatkowego jednego z europejskich krajów o zwrocie nadpłaconego podatku. Ofiara proszona jest o o otwarcie dołączonego pliku zip, w którym mają podane być wszystkie detale.

Oprogramowanie instaluje się następnie jako element logowania nazwany AppStore. Uruchamia się zatem przy starcie komputera, a następnie po pewnym czasie wyświetla fałszywą informację o aktualizacji systemu, blokując możliwość jakichkolwiek innych działań. Użytkownik proszony jest o podanie loginu i hasła, aby dokończyć aktualizację.

Złośliwe oprogramowanie przejmuje następnie uprawnienia administratora i zmienia systemowe ustawienia sieci, przekierowując ruch przez proxy, którego adres pobierany jest dynamicznie z pliku umieszczonego na serwerze przestępców. Cały ruch internetowy z tak zainfekowanego komputera przechodzi przez serwery przestępców, a zmieniony certyfikat bezpieczeństwa pozwala im na podszywanie się pod znane strony internetowe bez żadnych ostrzeżeń.

Apple może dość szybko zabezpieczyć użytkowników unieważniając wspomniany certyfikat, z pewnością jednak pojawią się kolejne tego typu próby i jak zwykle pierwszym celem ataku będzie najsłabszy element zabezpieczeń - użytkownik.

Źródło: Check Point