Команда исследователей вредоносного ПО обнаружила новый образец вредоносного ПО для Mac, которое, по сообщениям, затрагивает все версии MacOS и подписано действительным сертификатом разработчика, аутентифицированным Apple (через The Hacker News).
Вредоносное ПО получило название «DOK» и распространяется через фишинговую кампанию по электронной почте, которая, по словам исследователей CheckPoint, специально нацелена на пользователей macOS, что делает его первым в своем роде.
Вредоносное ПО работает, получая права администратора для установки нового корневого сертификата в системе пользователя. Это позволяет ему получать доступ ко всем коммуникациям между хост-маком и Интернетом, включая трафик, проходящий через соединения, зашифрованные SSL.
Первоначальное электронное письмо притворяется уведомлением получателя о несоответствиях в его налоговой декларации и просит загрузить вложение в виде zip-файла на Mac, которое содержит вредоносное ПО. Встроенная функция безопасности Apple Gatekeeper, по сообщениям, не распознает его как угрозу из-за действительного сертификата разработчика, и вредоносное ПО копирует себя в папку /Users/Shared/ и создает элемент автозагрузки, чтобы обеспечить свое постоянное присутствие даже после перезагрузки системы.
Впоследствии вредоносное ПО отображает пользователю сообщение безопасности, утверждающее, что для системы доступно обновление, для которого требуется ввод пароля. После «обновления» вредоносное ПО получает полный контроль над правами администратора, изменяет сетевые настройки для перенаправления всех исходящих соединений через прокси-сервер и устанавливает дополнительные инструменты, позволяющие ему выполнять атаку типа «человек посередине» на весь трафик.
По словам исследователей, антивирусные программы для Mac еще не обновили свои базы данных для обнаружения вредоносного ПО DOK, и рекомендуется, чтобы Apple немедленно отозвала сертификат разработчика, связанный с автором.
В январе исследователи обнаружили вредоносное ПО для Mac под названием Fruitfly, которое успешно шпионило за компьютерами в центрах медицинских исследований в течение нескольких лет до его обнаружения.
Последнее обнаружение вредоносного ПО, которое, по-видимому, нацелено преимущественно на европейских пользователей, подчеркивает тот факт, что Mac не застрахованы от этой угрозы, как иногда принято считать. Как всегда, пользователям следует избегать перехода по ссылкам или загрузки вложений из писем от неизвестных и ненадежных источников.
