W ostatnich dniach odkryto nowe, niezwykle niebezpieczne złośliwe oprogramowanie dla systemu macOS, infekujące komputery Mac, nawet jeśli posiadają one system Gatekeeper lub różne aktywne aplikacje antywirusowe. Po zainfekowaniu komputerów Mac szkodliwe oprogramowanie zmusza użytkowników do zainstalowania fałszywej aktualizacji systemu macOS, zapewniając im pełny dostęp do wszystkiego, co robimy na komputerach Mac.
OSX/Dok to nazwa tego szkodliwego oprogramowania, ale aby zainfekować komputer Mac, musi ono zostać zainstalowane przez użytkownika bez jego wiedzy, gdyż wykorzystywany jest atak phishingowy. Hakerzy wysyłają e-maile, które wydają się pochodzić od instytucji podatkowych. Mają dołączone archiwum, a otwarcie go daje szkodliwemu programowi bezpośredni dostęp do naszych komputerów i może robić, co chce.
Po instalacji szkodliwe oprogramowanie działa przy pierwszym ponownym uruchomieniu komputera, wyświetlając alert o aktualizacji, który uniemożliwia nam wykonanie jakichkolwiek innych czynności na komputerach. Po całkowitej instalacji szkodliwego oprogramowania maskowanego przez ten alert, uzyskuje on uprawnienia administratora na komputerze i może uzyskać dostęp do dowolnych danych, zapewniając jednocześnie całkowitą kontrolę nad komputerem Mac.
Co więcej, modyfikuje także ustawienia internetowe, aby monitorować cały nasz ruch internetowy za pośrednictwem proxy hakera. Niestety umożliwi im to dostęp do wszelkich danych przesyłanych przez nas wewnętrznie, instalowany jest także fałszywy certyfikat bezpieczeństwa, który umożliwia szpiegowanie ruchu nawet poprzez bezpieczne połączenia danych.
To złośliwe oprogramowanie jest bardzo niebezpieczne, ponieważ wykorzystuje certyfikat bezpieczeństwa Apple do infekowania komputerów Mac, więc pozostaje niewykryte przez Gatekeepera. Apple musi go wyłączyć, aby powstrzymać atak, dopóki hakerzy nie wygenerują kolejnego i problem nie pojawi się ponownie, więc Apple będzie musiało znaleźć lepsze metody ochrony.
„Ofiara nie może uzyskać dostępu do jakichkolwiek okien ani korzystać z komputera w jakikolwiek sposób, dopóki nie ustąpi, nie wprowadzi hasła i nie pozwoli, aby złośliwe oprogramowanie dokończyło instalację. Gdy to zrobią, szkodliwe oprogramowanie uzyskuje uprawnienia administratora na komputerze ofiary. Następnie złośliwe oprogramowanie zmienia ustawienia sieciowe systemu ofiary w taki sposób, że wszystkie połączenia wychodzące będą przechodzić przez serwer proxy, który jest dynamicznie uzyskiwany z pliku autokonfiguracji proxy (PAC) znajdującego się na złośliwym serwerze”.
