| 28 апр 2017 — 5:17 утра по тихоокеанскому времени
Недавно мы узнали, что количество вредоносного ПО для macOS выросло на 744% за прошлый год, хотя большая часть из него относилась к менее опасной категории рекламного ПО. Однако вновь обнаруженный образец вредоносного ПО (через Reddit) относится к категории «серьезно опасных» – оно способно шпионить за всей вашей интернет-активностью, включая использование защищенных веб-сайтов.
Исследователи безопасности из CheckPoint обнаружили то, что они назвали OSX/Dok, которое умудряется оставаться необнаруженным Gatekeeper и блокирует пользователям любые действия на Mac до тех пор, пока они не примут поддельное обновление ОС X…
OSX/Dok опирается на фишинговую атаку как на первичный способ проникновения. Жертвам отправляется электронное письмо, якобы от налоговой службы, касающееся их налоговой декларации, с просьбой открыть вложенный zip-архив для получения подробностей. Это, конечно, должно немедленно вызвать тревогу: никто никогда не должен открывать zip-архив, который он не ожидает, даже если он, кажется, отправлен от известного контакта.
Но после этого подход, принятый вредоносным ПО, чрезвычайно умен. Оно устанавливается как «Элемент входа» под названием AppStore, что означает, что оно автоматически запускается каждый раз при загрузке системы. Затем оно ждет некоторое время, прежде чем отобразить поддельное окно обновления macOS.
Жертве запрещается доступ к каким-либо окнам или использование компьютера каким-либо образом, пока она не уступит, не введет пароль и не позволит вредоносному ПО завершить установку. Как только это произойдет, вредоносное ПО получит права администратора на машине жертвы…
Затем вредоносное ПО изменяет сетевые настройки системы жертвы таким образом, что все исходящие соединения будут проходить через прокси, который динамически получается из файла конфигурации прокси-сервера (Proxy AutoConfiguration, PAC), находящегося на вредоносном сервере.
Это означает, что буквально все, что вы делаете в Интернете, даже доступ к защищенным серверам с использованием https-соединений, будет проходить через прокси злоумышленника. Также устанавливается поддельный сертификат безопасности, позволяющий злоумышленнику выдавать себя за любой веб-сайт без обнаружения.
В результате всех вышеперечисленных действий, при попытке просмотра веб-страниц, браузер пользователя сначала запросит у веб-страницы атакующего в TOR настройки прокси-сервера. Затем трафик пользователя перенаправляется через прокси, контролируемый злоумышленником, который осуществляет атаку «человек посередине» (Man-In-the-Middle) и выдает себя за различные сайты, которые пытается посетить пользователь. Злоумышленник может свободно читать трафик жертвы и изменять его по своему усмотрению.
Причина, по которой Gatekeeper не блокирует вредоносное ПО изначально, заключается в том, что оно имеет действительный сертификат разработчика. Это должно облегчить Apple решение проблемы путем отзыва сертификата, но, конечно, процесс может быть возобновлен, если злоумышленникам удастся получить доступ к другому сертификату.
Ознакомьтесь с нашим руководством по защите от фишинговых атак, и не обязательно верьте тому, что отображается в адресной строке браузера.