Malware na Maka coraz lepsze: Dok przejmuje ruch sieciowy, także HTTPS
04.05.2017 11:27
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Malware tworzone na macOS-a znacznie ustępowało dotądszkodnikom opracowywanym z myślą o Windowsie. Po części była tokwestia znacznie mniejszej popularności tego systemu operacyjnego,ale nie tylko – na pewno wpływ na to miało mniejsze doświadczenieblackhatów, jak i sama uniksowa architektura macOS-a. Zeszły rokbył jednak w tej dziedzinie przełomowy, liczba szkodników na Makawzrosła ponad siedmiokrotnie, a niektóre z nich robią sięnaprawdę wyrafinowane.
Odkryty przez badaczy firmy CheckPoint szkodnikOSX/Dok spełnia wszystkie warunki, by uznać go za poważnezagrożenie dla użytkowników macOS-a. Działa na wszystkichwersjach tego systemu operacyjnego, w momencie odkrycia pozostawałniewykrywalny dla wszystkich silników antywirusowych dostępnychprzez serwis VirusTotal, i był podpisany ważnym certyfikatemdeweloperskim, uwierzytelnionym przez Apple.
Dok rozpowszechniany jest poprzez skoordynowanąkampanię phishingową, wymierzoną przede wszystkim w użytkowników z Europy. Ofiary otrzymują wiadomość z „urzędówskarbowych” o problemach z ich deklaracjami podatkowymi, szczegółyzawarte mają być w załączonym pliku ZIP.
Jako że malware było podpisane ważnym certyfikatem, nie budzipodejrzeń Gatekeepera, system pozwala na jego instalację. Jegodalsze zachowanie nie wywołuje też reakcji programówantywirusowych, które użytkownik Maka mógłby w końcu u siebiezainstalować. Szkodnik kopiuje się do katalogu /Users/Shared idopisuje do listy aplikacji uruchamianych przy starcie, jednocześniezaczynając pobierać z sieci swój ładunek.
W pewnym momencie użytkownikowi zostaje wyświetlone „systemowe”okienko z informacją o konieczności przeprowadzenia aktualizacji wzwiązku z wykryciem zagrożenia bezpieczeństwa. Aktualizacja wymagaoczywiście podania hasła administratora. Gdy ofiara swoje hasłowpisze, szkodnik wyposażony w uprawnienia administracyjne zmieniaustawienia sieci, przekierowując cały ruch sieciowy przez lokalneproxy. To jednak nie wszystko, instalowany jest bowiem nowycertyfikat root, pozwalający przejąć szyfrowany ruch HTTPS.
Po wprowadzeniu tych wszystkich zmian, Dok usuwa się z systemu, anapastnik zachowuje pełną kontrolę nad ruchem sieciowym ofiary,poprzez swoje złośliwe proxy może go przekierować na dowolnephishingowe strony, może też odczytać przesyłane dane logowaniaczy ciasteczka uwierzytelniania.
Wkrótce po odkryciu przez Check Pointa tego zagrożenia, Applezrobiło co mogło – wycofało certyfikat wykorzystany dopodpisania szkodnika, dzięki czemu Gatekeeper nie pozwoli jużwięcej na jego uruchomienie. Jednocześnie wprowadziło kilkaulepszeń do narzędzia XProtect, aby w przyszłości uniemożliwićataki w takim stylu. Czy to pomoże? Trzeba pamiętać, że profilużytkowników macOS-a czyni z nich idealny cel dla cyberprzestępców– zwykle zamożniejsi, niż użytkownicy pecetów z Windows, zwyklemniej zainteresowani techniką komputerową, zwykle ufający hasłu,że „na Maka nie ma wirusów”.