Odkryty przez badaczy firmy CheckPoint szkodnikOSX/Dok spełnia wszystkie warunki, by uznać go za poważnezagrożenie dla użytkowników macOS-a. Działa na wszystkichwersjach tego systemu operacyjnego, w momencie odkrycia pozostawałniewykrywalny dla wszystkich silników antywirusowych dostępnychprzez serwis VirusTotal, i był podpisany ważnym certyfikatemdeweloperskim, uwierzytelnionym przez Apple.
Dok rozpowszechniany jest poprzez skoordynowanąkampanię phishingową, wymierzoną przede wszystkim w użytkowników z Europy. Ofiary otrzymują wiadomość z „urzędówskarbowych” o problemach z ich deklaracjami podatkowymi, szczegółyzawarte mają być w załączonym pliku ZIP.
Jako że malware było podpisane ważnym certyfikatem, nie budzipodejrzeń Gatekeepera, system pozwala na jego instalację. Jegodalsze zachowanie nie wywołuje też reakcji programówantywirusowych, które użytkownik Maka mógłby w końcu u siebiezainstalować. Szkodnik kopiuje się do katalogu /Users/Shared idopisuje do listy aplikacji uruchamianych przy starcie, jednocześniezaczynając pobierać z sieci swój ładunek.
W pewnym momencie użytkownikowi zostaje wyświetlone „systemowe”okienko z informacją o konieczności przeprowadzenia aktualizacji wzwiązku z wykryciem zagrożenia bezpieczeństwa. Aktualizacja wymagaoczywiście podania hasła administratora. Gdy ofiara swoje hasłowpisze, szkodnik wyposażony w uprawnienia administracyjne zmieniaustawienia sieci, przekierowując cały ruch sieciowy przez lokalneproxy. To jednak nie wszystko, instalowany jest bowiem nowycertyfikat root, pozwalający przejąć szyfrowany ruch HTTPS.
Po wprowadzeniu tych wszystkich zmian, Dok usuwa się z systemu, anapastnik zachowuje pełną kontrolę nad ruchem sieciowym ofiary,poprzez swoje złośliwe proxy może go przekierować na dowolnephishingowe strony, może też odczytać przesyłane dane logowaniaczy ciasteczka uwierzytelniania.
Wkrótce po odkryciu przez Check Pointa tego zagrożenia, Applezrobiło co mogło – wycofało certyfikat wykorzystany dopodpisania szkodnika, dzięki czemu Gatekeeper nie pozwoli jużwięcej na jego uruchomienie. Jednocześnie wprowadziło kilkaulepszeń do narzędzia XProtect, aby w przyszłości uniemożliwićataki w takim stylu. Czy to pomoże? Trzeba pamiętać, że profilużytkowników macOS-a czyni z nich idealny cel dla cyberprzestępców– zwykle zamożniejsi, niż użytkownicy pecetów z Windows, zwyklemniej zainteresowani techniką komputerową, zwykle ufający hasłu,że „na Maka nie ma wirusów”.