Dok, новый зловред для Mac, использует сертификат разработчика Apple для слежки за HTTPS-трафиком

Новости Отредактировано

Обнаружен Dok, новый вредонос для Mac, использующий настоящий сертификат разработчика. Целью вируса является перехват трафика, в том числе и зашифрованного.

869 открытий875 показов

Исследовательская группа компании CheckPoint, занимающаяся обнаружением вредоносного ПО, нашла новую вредоносную программу для Mac, которая подписана настоящим сертификатом и, по слухам, затрагивает все версии macOS. Вредоносная программа получила название Dok и распространяется через электронную почту. Исследователи из CheckPoint считают ее нацеленной именно на пользователей macOS, что делает её первой в своем роде.

Dok, новый зловред для Mac, использует сертификат разработчика Apple для слежки за HTTPS-трафиком 1

Как работает Dok?

Dok получает административные привилегии для установки нового сертификата суперпользователя в системе жертвы. Это позволяет ему получить доступ ко всем сообщениям между устройством и Интернетом, включая трафик, проходящий через соединения, зашифрованные с помощью SSL.

По электронной почте приходит сообщение с информацией о несоответствиях в налоговой декларации и просит загрузить вложенный ZIP-файл, который содержит вредоносное ПО. По имеющейся информации, встроенная функция безопасности Gatekeeper от Apple не распознает его как угрозу из-за ее настоящего сертификата разработчика, а вредоносное ПО копирует себя в папку /Users/Shared/ и добавляет себя в список автозагрузки, чтобы остаться активным даже после перезагрузки системы .

Позже появляется сообщение безопасности, утверждающее, что для системы доступно обновление, для которого требуется ввод пароля. После «обновления» вредоносное ПО получает полный контроль над правами администратора, настраивает сетевые параметры для перенаправления всех исходящих подключений через прокси-сервер и устанавливает дополнительные инструменты, которые позволяют выполнять атаку «человек посередине».

Dok, новый зловред для Mac, использует сертификат разработчика Apple для слежки за HTTPS-трафиком 2

По словам исследователей, антивирусные программы Mac еще не обновили свои базы данных для обнаружения Dok и советуют Apple немедленно отозвать сертификат разработчика, связанный с автором.

Mac не защищен от вредоносных программ, как это иногда предполагается. Пользователям следует избегать ссылок или загрузки вложений в сообщениях из неизвестных источников.

Следите за новыми постами
Следите за новыми постами по любимым темам
869 открытий875 показов