r   e   k   l   a   m   a
r   e   k   l   a   m   a

Malware na Maka coraz lepsze: Dok przejmuje ruch sieciowy, także HTTPS

Strona główna AktualnościBEZPIECZEŃSTWO

Malware tworzone na macOS-a znacznie ustępowało dotąd szkodnikom opracowywanym z myślą o Windowsie. Po części była to kwestia znacznie mniejszej popularności tego systemu operacyjnego, ale nie tylko – na pewno wpływ na to miało mniejsze doświadczenie blackhatów, jak i sama uniksowa architektura macOS-a. Zeszły rok był jednak w tej dziedzinie przełomowy, liczba szkodników na Maka wzrosła ponad siedmiokrotnie, a niektóre z nich robią się naprawdę wyrafinowane.

Odkryty przez badaczy firmy CheckPoint szkodnik OSX/Dok spełnia wszystkie warunki, by uznać go za poważne zagrożenie dla użytkowników macOS-a. Działa na wszystkich wersjach tego systemu operacyjnego, w momencie odkrycia pozostawał niewykrywalny dla wszystkich silników antywirusowych dostępnych przez serwis VirusTotal, i był podpisany ważnym certyfikatem deweloperskim, uwierzytelnionym przez Apple.

Dok rozpowszechniany jest poprzez skoordynowaną kampanię phishingową, wymierzoną przede wszystkim w użytkowników z Europy. Ofiary otrzymują wiadomość z „urzędów skarbowych” o problemach z ich deklaracjami podatkowymi, szczegóły zawarte mają być w załączonym pliku ZIP.

r   e   k   l   a   m   a

Jako że malware było podpisane ważnym certyfikatem, nie budzi podejrzeń Gatekeepera, system pozwala na jego instalację. Jego dalsze zachowanie nie wywołuje też reakcji programów antywirusowych, które użytkownik Maka mógłby w końcu u siebie zainstalować. Szkodnik kopiuje się do katalogu /Users/Shared i dopisuje do listy aplikacji uruchamianych przy starcie, jednocześnie zaczynając pobierać z sieci swój ładunek.

W pewnym momencie użytkownikowi zostaje wyświetlone „systemowe” okienko z informacją o konieczności przeprowadzenia aktualizacji w związku z wykryciem zagrożenia bezpieczeństwa. Aktualizacja wymaga oczywiście podania hasła administratora. Gdy ofiara swoje hasło wpisze, szkodnik wyposażony w uprawnienia administracyjne zmienia ustawienia sieci, przekierowując cały ruch sieciowy przez lokalne proxy. To jednak nie wszystko, instalowany jest bowiem nowy certyfikat root, pozwalający przejąć szyfrowany ruch HTTPS.

Po wprowadzeniu tych wszystkich zmian, Dok usuwa się z systemu, a napastnik zachowuje pełną kontrolę nad ruchem sieciowym ofiary, poprzez swoje złośliwe proxy może go przekierować na dowolne phishingowe strony, może też odczytać przesyłane dane logowania czy ciasteczka uwierzytelniania.

Wkrótce po odkryciu przez Check Pointa tego zagrożenia, Apple zrobiło co mogło – wycofało certyfikat wykorzystany do podpisania szkodnika, dzięki czemu Gatekeeper nie pozwoli już więcej na jego uruchomienie. Jednocześnie wprowadziło kilka ulepszeń do narzędzia XProtect, aby w przyszłości uniemożliwić ataki w takim stylu. Czy to pomoże? Trzeba pamiętać, że profil użytkowników macOS-a czyni z nich idealny cel dla cyberprzestępców – zwykle zamożniejsi, niż użytkownicy pecetów z Windows, zwykle mniej zainteresowani techniką komputerową, zwykle ufający hasłu, że „na Maka nie ma wirusów”.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.