Фахівці з мережної безпеки з охоронної фірми Check Point виявили нову шкідливу програму, призначену для користувачів macOS. Вона здатна відстежувати трафік переглядаються сайтів, у тому числі зашифрований, і може викрадати конфіденційні дані користувачів.

Вона називається OSX/Dok і була виявлена в Європі. Поширення її відбувається за допомогою фішингу – користувачам розсилалися листи нібито від імені швейцарського урядового агентства, які попереджали користувачів про нібито помилки в їх податкових деклараціях. До листів були прикріплені архіви Dokument.zip, які містили малварь. При розпакуванні та відкритті шкідник «чіплявся» за машину користувача і починав прослуховувати інтернет-трафік. При цьому, малварь навіть мала функцію штатного видалення, що дозволяло «замести сліди».

Що ж робить OSX/Dok унікальним? Той факт, що програма була підписана чинним сертифікат розробника Apple. Такі сертифікати зазвичай видаються компанією з Купертіно членам своєї програми розробників, що дозволяє розробникам публікувати програми в Mac App Store. Цікаво, що вони дозволяють, у тому числі минути елементи управління безпекою або ручні перевизначення в системі.

Простіше кажучи, малварь після установки відображає помилкове повідомлення про необхідність оновлення системи безпеки, для чого користувач вводить пароль адміністратора ПК. Потім він підвищує привілеї поточного користувача для адміністратора і вже виконується у фоновому режимі. Потім шкідливе ПЗ змінює мережеві налаштування системи, щоб спрямовувати весь веб-трафік через проксі-сервер в мережі Tor. По суті, це дозволяє проксі-сервера здійснювати атаку типу «людина в середині», дозволяючи зловмисникам викрадати всі види конфіденційної інформації, відстежуючи зашифровані дії користувача. Це включає в себе паролі, дані кредитної картки, фінансову інформацію та багато іншого.

Компанія Apple була поінформована про шкідливі програми і вже відкликала сертифікат розробника, однак поки невідомо, чи з’являться нові версії такої малварі.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту і натисніть Ctrl + Enter .