Исследователи по безопасности предупредили на прошлой неделе, что новое вредоносное ПО для Mac может быть нацелено на все версии macOS и получит полный контроль над вашим Mac. Названное «Dok», эта вредоносная программа может шпионить за пользователями OS X, отслеживать их историю посещений и интернет-трафик, включая трафик HTTPS. Хотите знать, что делать, если вы заразились? Следуй этим шагам.
Вредоносная программа Dok использует интернет-трафик жертвы и пароль администратора
Ранее в этом году отчет McAfee Labs показал, что количество целевых атак на Mac возросло на 744% в 2016 году, что свидетельствует о растущих усилиях сообщества криминальных хакеров. Хотя хакеры «черной шляпы» по-прежнему далеко не соответствуют номерам Windows, они больше не нацелены исключительно на Windows, разрушая миф о том, что Mac безопаснее, чем Windows. Как и многие атаки на Windows, вредоносное ПО для Mac также требует некоторых действий, предпринимаемых жертвами, что делает абсолютно необходимым сосредоточение внимания на осведомленности пользователей об этих атаках.
Маки заражаются новым вредоносным ПО для майнинга криптовалют
Исследователи из CheckPoint обнаружили, что новое вредоносное ПО OSX/Dok подписано «действительным сертификатом разработчика (заверенным Apple) и является первым крупным вредоносным ПО, нацеленным на пользователей OSX посредством скоординированной фишинг-кампании».
Похоже, что атака в основном нацелена на европейских пользователей, при этом одно фишинговое электронное письмо, предназначенное для немцев, отправляет сообщение о несоответствиях в налоговых декларациях пользователя. Как только заражение OSX/Dok завершено, злоумышленники получают полный доступ ко всем коммуникациям жертвы, включая связь, зашифрованную с помощью SSL, – пишет CheckPoint. – Это делается путем перенаправления трафика жертвы через вредоносный прокси-сервер, «используя атаку MitM, способную перехватывать данные. интернет-трафик жертвы.
Не обнаруживаемая вредоносная программа Mac запрашивает данные для входа
Эта вредоносная программа также полностью не обнаруживается, так как обнаруживает ноль на VirusTotal. После активации через вложения электронной почты вредоносная программа копирует себя в папку/Users/Shared и показывает пользователю всплывающее сообщение о том, что вложенный документ «поврежден» и не может быть открыт.
Затем вредоносная программа пытается получить пароли пользователей, показывая экран, который замаскирован под загрузчик обновлений безопасности macOS и сохраняется, при этом пользователь не может ничего делать, пока не нажмет кнопку «Обновить все». Даже перезапуск не избавляет от этого экрана. После ввода пароля вредоносная программа получает права администратора, которые используются для загрузки и установки клиента Tor (помогая злоумышленникам оставаться анонимными), новый корневой сертификат и другие обновления, а также изменяя параметры сети и перенаправляя трафик через сервер.
Троян macOS, впервые обнаруженный в 2016 году, продолжает обходить AV-движки
Таким образом, весь трафик будет доступен, включая зашифрованный трафик SSL. Проблема серьезна, поскольку преступники могут видеть «все», включая банковские реквизиты.
«Воздействие на бизнес может быть гораздо более серьезным, так как оно может раскрыть информацию, которая позволит злоумышленнику получить доступ к ресурсам компании», – пишет Малвербайтес. «Например, рассмотрите потенциальный ущерб, если во время заражения вы посетили внутреннюю страницу компании, в которой содержались инструкции о том, как подключиться к корпоративной сети VPN и получить доступ к внутренним службам компании. Вредоносное ПО отправило бы всю эту информацию на вредоносный прокси-сервер. ”
Как оставаться в безопасности и удалить вредоносную программу Dok Mac
Хорошая новость, как и в большинстве случаев, заключается в том, что на вас не повлияет, если вы не откроете файлы .zip, пришедшие вам от незнакомцев или даже друзей, которые сами могут быть заражены. В то время как мы можем хотеть верить, что люди больше не попадают в эту фишинговую мошенническую историю, которая, как очевидно, многие все еще делают. Однако в Dok есть несколько красных флажков, в том числе первый zip-файл, а затем запрашиваются ваши данные для входа.
Но что делать, если вы попали в ловушку? Если вам удалось скачать файл zip-вложения, а затем нажать кнопку «обновить все» и указать свои пароли, вот как можно выйти из этого беспорядка.
- Откройте Системные настройки.
- Далее нажмите «Сеть» и выберите ваше интернет-соединение.
- Нажмите «Дополнительно»> вкладка «Прокси»> «Автоматическая настройка прокси».
- Здесь удалите URL http: //127.0.0.1.5555 ..
Также удалите два LaunchAgents, установленных Dok:
- /Users/%User%/Library/LaunchAgents/com.apple.Safari.proxy.plist
- /Users/%User%/Library/LaunchAgents/com.apple.Safari.pac.PLIST
Наконец, удалите поддельный подписанный сертификат Apple Developer:
- Запустить Finder> Приложения.
- Откройте папку «Утилиты»> дважды щелкните «Доступ к связке ключей».
- Теперь выберите сертификат с именем COMODO RSA Secure Server CA 2.
- Щелкните правой кнопкой мыши на сертификате и нажмите «Удалить сертификат».
- Подтвердите, нажав Удалить.
Опять же, просто подумайте, прежде чем открывать вложения от незнакомцев, и вам будет гораздо меньше о чем беспокоиться.