вНовости программирования

Dok, новый зловред для Mac, использует сертификат разработчика Apple для слежки за HTTPS-трафиком

Исследовательская группа компании CheckPoint, занимающаяся обнаружением вредоносного ПО, нашла новую вредоносную программу для Mac, которая подписана настоящим сертификатом и, по слухам, затрагивает все версии macOS. Вредоносная программа получила название Dok и распространяется через электронную почту. Исследователи из CheckPoint считают ее нацеленной именно на пользователей macOS, что делает её первой в своем роде.

Dok

Как работает Dok?

Dok получает административные привилегии для установки нового сертификата суперпользователя в системе жертвы. Это позволяет ему получить доступ ко всем сообщениям между устройством и Интернетом, включая трафик, проходящий через соединения, зашифрованные с помощью SSL.

По электронной почте приходит сообщение с информацией о несоответствиях в налоговой декларации и просит загрузить вложенный ZIP-файл, который содержит вредоносное ПО. По имеющейся информации, встроенная функция безопасности Gatekeeper от Apple не распознает его как угрозу из-за ее настоящего сертификата разработчика, а вредоносное ПО копирует себя в папку /Users/Shared/ и добавляет себя в список автозагрузки, чтобы остаться активным даже после перезагрузки системы .

Позже появляется сообщение безопасности, утверждающее, что для системы доступно обновление, для которого требуется ввод пароля. После «обновления» вредоносное ПО получает полный контроль над правами администратора, настраивает сетевые параметры для перенаправления всех исходящих подключений через прокси-сервер и устанавливает дополнительные инструменты, которые позволяют выполнять атаку «человек посередине».

Dok

По словам исследователей, антивирусные программы Mac еще не обновили свои базы данных для обнаружения Dok и советуют Apple немедленно отозвать сертификат разработчика, связанный с автором.

Mac не защищен от вредоносных программ, как это иногда предполагается. Пользователям следует избегать ссылок или загрузки вложений в сообщениях из неизвестных источников.

Типичный программист.

Источник: Типичный программист