Новости дня:
Хакер-ЛайфхакерСпециалисты компании Check Point рассказали об обнаружении нового семейства малвари для Mac, которое не останавливает защита Gatekeeper. Малварь получила идентификатор OSX/Dok (далее просто Dok), и исследователи пишут, что вредонос использует всплывающие окна для получения административных привилегий, скрывает трафик при помощи Tor, а также применяет фальшивые сертификаты для перехвата браузерного трафика.
Согласно данным аналитиков, в настоящее время Dok атакует преимущественно европейских пользователей и распространяется через спамерские письма, замаскированные под послания из налоговой службы.
![](/file/2f94a4e1a658fa80723d0.png)
Такие письма содержат вложение Dokument.zip, и внутри архива скрывается приложение Truesteer.AppStore. При попытке его запуска пользователь увидит только ошибку, тогда как на самом деле вредонос копирует себя в другое место на жестком диске и удаляет оригинал. Так как вредонос использует подписанный Apple сертификат (developer certificate), Gatekeeper не заметит ничего подозрительного.
![](/file/e1d12f94152db2c9e63c4.png)
![](/file/d1cb87d3d5900e8aa0fd8.png)
Скопировав себя в /Users/Shared/, малварь добавляет loginItem с именем AppStore, чтобы закрепиться в системе. Затем разработчики малвари применяют социальную инженерию и тактику, хорошо знакомую экспертам и пользователям, которые сталкивались с Android-малварью: Dok выводит на экран окно, согласно которому в ОС была обнаружена проблема с безопасностью и теперь возникла необходимость установить обновление, для чего требуется ввести пароль. При этом пользователь не может продолжать работу и фактически оказывается «заблокирован» в этом окне до тех пор, пока не даст свое разрешение.
![](/file/345971ba918d39057b84e.png)
Вынудив жертву завершить установку, Dok скачивает и устанавливает на машину клиент Tor, SOCAT и менеджер пакетов Brew. Используя полученные привилегии, вредонос изменяет сетевые настройки системы, скачивает с сервера злоумышленников файл настроек PAC (Proxy AutoConfiguration) и пернаправляет весь исходящий трафик жертвы на прокси.
![](/file/3b89a7be1039f63f55e21.png)
![](/file/b95a0e9fd637ef6df7494.png)
Также Dok устанавливает в системе новый корневой сертификат, что позволяет атакующим перехватывать трафик жертвы, эффективно используя позицию man-in-the-middle. Фактически после завершения этих операций операторы малвари способны перехватить любой трафик пользователя, зашифрованный или незашифрованный, а также внедрять собственный контент в веб-страницы или подменять их полностью.
![](/file/7d33910a0e4dc604ff62e.png)
Впервые малварь была замечена 21 апреля 2017 года, и тогда VirusTotal показывал 0% обнаружений. С тех пор ситуация улучшилась (1, 2), но пользователям Mac’ов все равно крайне не рекомендуется открывать подозрительные почтовые вложения.