En ny ekstremt farlig malware til macOS blev opdaget i løbet af de sidste dage, der inficerede Mac'er, selvom de har Gatekeeper-systemet eller forskellige aktive antivirusprogrammer. Efter at have inficeret Mac'er tvinger malwaren brugerne til at installere en falsk macOS-opdatering, som giver fuld adgang til alt, hvad vi gør på Mac'er.
OSX/Dok er navnet på denne malware, men for at inficere Mac'en skal den installeres af brugeren uden at vide det, der bruges et phishing-angreb. Hackere sender e-mails, der ser ud til at komme fra skatteinstitutioner, de har et arkiv vedhæftet, og åbning af det giver malwaren direkte adgang til vores computere for at gøre, hvad den vil.
Efter installationen virker malwaren ved den første genstart af computeren og viser en opdateringsadvarsel, der forhindrer os i at gøre noget andet på computerne. Efter den totale installation af malwaren, der er maskeret af denne advarsel, opnår den administratorrettigheder på computeren og kan få adgang til alle data, og der er også fuld kontrol over Mac'en.
Desuden ændrer den også internetindstillingerne for at overvåge al vores internettrafik gennem en hacker-proxy. Desværre vil dette give dem mulighed for at få adgang til enhver form for data, der overføres af os internt, og et falsk sikkerhedscertifikat er også installeret, som gør det muligt at spionere på trafikken selv gennem sikre dataforbindelser.
Denne malware er meget farlig, fordi den bruger et Apple-sikkerhedscertifikat til at inficere Macs, så den bliver uopdaget af Gatekeeper. Apple skal deaktivere det for at stoppe angrebet, indtil hackerne genererer endnu et, og problemet dukker op igen, så Apple bliver nødt til at finde bedre beskyttelsesmetoder.
"Ofret er udelukket fra at få adgang til vinduer eller bruge deres maskine på nogen måde, indtil de giver efter, indtaster adgangskoden og lader malwaren afslutte installationen. Når de gør det, får malwaren administratorrettigheder på ofrets maskine. Malwaren ændrer derefter offersystemets netværksindstillinger, således at alle udgående forbindelser vil passere gennem en proxy, som er dynamisk hentet fra en Proxy AutoConfiguration (PAC) fil, der sidder på en ondsindet server."
