Специалисты по сетевой безопасности из охранной фирмы Check Point обнаружили новую вредоносную программу, предназначенную для пользователей macOS. Она способна отслеживать трафик просматриваемых сайтов, в том числе зашифрованный, и может похищать конфиденциальные данные пользователей.

Она называется OSX/Dok и была обнаружена в Европе. Распространение её происходит с помощью фишинга – пользователям рассылались письма якобы от имени швейцарского правительственного агентства, которые предупреждали пользователей о якобы ошибках в их налоговых декларациях. К письмам были прикреплены архивы Dokument.zip, которые содержали малварь. При распаковке и открытии зловред «цеплялся» за машину пользователя и начинал прослушивать интернет-трафик. При этом, малварь даже имела функцию штатного удаления, что позволяло «замести следы».

Что же делает OSX/Dok уникальным? Тот факт, что программа была подписана действующим сертификатом разработчика Apple. Такие сертификаты обычно выдаются компанией из Купертино членам своей программы разработчиков, что позволяет разработчикам публиковать приложения в Mac App Store. Интересно, что они позволяют, в том числе миновать элементы управления безопасностью или ручные переопределения в системе.

Проще говоря, малварь после установки отображает ложное уведомление о необходимости обновления безопасности системы, для чего пользователь вводит пароль администратора ПК. Затем зловред повышает привилегии текущего пользователя для администратора и уже выполняется в фоновом режиме. Затем вредоносное ПО изменяет сетевые настройки системы, чтобы маршрутизировать весь веб-трафик через прокси-сервер в сети Tor. По сути, это позволяет прокси-серверу совершать атаку типа «человек в середине», позволяя злоумышленникам похищать все виды конфиденциальной информации, отслеживая зашифрованные действия пользователя. Это включает в себя пароли, данные кредитной карты, финансовую информацию и многое другое.

Компания Apple была уведомлена о вредоносном ПО и уже отозвала сертификат разработчика, однако пока неизвестно, появятся ли новые версии подобной малвари.