Еще одна атака на Mac: вредоносное ПО OSX/Dok распространяется в Европе
Как я уже неоднократно говорил, некоторые пользователи Mac имеют ложное чувство безопасности в отношении своих устройств. По какой-то причине до сих пор существует устойчивый миф о том, что компьютеры Mac по своей природе более безопасны, чем ПК. Как показывает недавний отчет об угрозах, подготовленный исследователями из Checkpoint, этот миф оказался всего лишь мифом.
В отчете, написанном Офером Каспи, очень подробно исследовано новое вредоносное ПО, затрагивающее пользователей Mac в Европе, прежде всего в Германии и Австрии. Названный «OSX/Dok», он разрушительен тем, что «влияет на все версии OSX, не имеет 0 обнаружений на VirusTotal… подписан действительным сертификатом разработчика (подтвержденным Apple) и является первым крупным вредоносным ПО, нацеленным на пользователей OSX. через скоординированную фишинговую кампанию по электронной почте».
OSX/Dok ищет информацию, особенно конфиденциальные данные, которые отправляются по зашифрованному трафику. Анализ после заражения показывает, что вредоносное ПО способно просматривать любые сообщения, отправляемые жертве и от нее, даже трафик, зашифрованный с помощью SSL. Как указывает Caspi, это возможно из-за того, что OSX/Dok пропускает «трафик жертвы через вредоносный прокси-сервер».
Фишинговая атака, используемая для переноса OSX/Dok в систему, на данный момент основана на использовании беспокойства относительно финансовой информации. В приведенной ниже переписке на немецком языке злоумышленник пытается использовать «несоответствия» в налоговых декларациях, чтобы заставить потенциальную жертву открыть ZIP-файл, содержащий OSX/Dok.
После выполнения вредоносная программа скопирует себя в папку /Users/Shared/, используя следующие команды оболочки, описанные в отчете Checkpoint:
Именно в этот момент система полностью заражена и выводит на экран окно с запросом на «обновление», которое будет использовать полные привилегии суперпользователя для атаки черной шляпы на систему.
Фишинговые кампании — одна из самых старых тактик в арсенале хакера, и она остается таковой, потому что всегда есть доверчивые люди, которые клюют на приманку. Само собой разумеется, что запуск файлов из ненадежных источников опасен, но многие все еще настаивают на этом. Несмотря на то, что OSX/Dok в настоящее время локализован для Европы, неизбежно, что он будет распространяться по Даркнету и станет глобальным. Это особенно актуально, поскольку это вредоносное ПО для Mac, которое можно использовать против невежественных пользователей, которые считают, что их продукты по своей природе «защищены от взлома».