Un nuovo tipo di attacco man-in-the-middle è stato rilevato in natura, colpendo il Mac di Apple. Soprannominato OSX / DOK, si affida a una nuova varietà di malware macOS che sfrutta un certificato di sicurezza fasullo per aggirare la protezione di Apple Gatekeeper. I programmi antivirus più diffusi attualmente non sono in grado di rilevare OSX / DOK.
Le notizie e le ricerche di Hacker su CheckPoint spiegano che il malware colpisce tutte le versioni di macOS utilizzando un certificato di sviluppatore valido firmato da Apple. Ecco cosa fa OSX / DOK, come funziona, come capire se sei interessato e cosa puoi fare per proteggerti ed evitare questo tipo di attacchi in futuro.
Che cos'è OSX / DOK?
OSX / DOK è un nuovo tipo di malware distribuito tramite una campagna di phishing via email.
È stato progettato specificamente per i proprietari di Mac. OSX / DOK influisce su tutte le versioni di macOS e può evitare il rilevamento da parte della maggior parte dei programmi antivirus. È firmato con un certificato di sviluppatore valido autenticato da Apple, il che significa che evita il rilevamento da parte della funzione di sicurezza Gatekeeper di macOS.
In che modo OSX / DOK infesta il tuo Mac?
Il bundle di malware è contenuto in un archivio .ZIP denominato "Dokument.zip".
Una volta eseguito, il malware si copia prima nella cartella / Utenti / Condiviso / del Mac prima di eseguirsi da quella posizione. Quindi procede con l'installazione di un nuovo certificato radice che consente di intercettare il traffico con un attacco man-in-the-middle. Per garantire che il malware completi l'installazione del proprio payload prima di un riavvio, si aggiunge come elemento di accesso macOS denominato "AppStore".
Successivamente, l'utente viene accolto con una finestra persistente progettata per apparire come un avviso macOS valido, come si vede nella schermata qui sotto. La finestra informa l'utente di un presunto problema di sicurezza sul proprio Mac che richiede un aggiornamento. Il messaggio impedisce all'utente di fare qualsiasi cosa sul proprio computer fino a quando non accetta la richiesta di aggiornamento falso.
Facendo clic sul pulsante Aggiorna tutto viene visualizzato un altro prompt che richiede la password.
Una volta fornita la password, il malware ottiene i privilegi di amministratore sul tuo Mac.
Utilizzando tali privilegi, installa strumenti da riga di comando che consentono la connessione al web oscuro. Quindi modifica le impostazioni di rete per reindirizzare tutte le connessioni in uscita attraverso un server proxy dannoso che consente all'attaccante di intercettare le tue comunicazioni.
Alcuni messaggi di phishing utilizzati per diffondere il malware sembrano indirizzati principalmente agli utenti in Germania, ma ciò non significa che solo gli utenti europei siano a rischio. Per quello che vale, il codice malware supporta i messaggi sia in tedesco che in inglese.
Che danno fa OSX / DOK?
OSX / Dok reindirizza il tuo traffico tramite un server proxy dannoso, offrendo agli utenti malvagi l'accesso a tutte le tue comunicazioni, inclusa quella crittografata da SSL. Poiché installa un certificato radice compromesso sul sistema, l'attaccante è in grado di impersonare qualsiasi sito Web per ingannare gli utenti nel fornire le loro password per app bancarie e servizi online popolari.
Come sapere se sei interessato?
Se di recente hai aperto un file ZIP in un messaggio e-mail che non ti aspettavi e ora visualizzi messaggi dall'aspetto sospetto che richiedono la password del tuo Mac, il tuo sistema potrebbe essere stato infettato da OS X / DOK. Poiché il malware reindirizza il traffico di rete a un server proxy non autorizzato, è necessario avventurarsi Preferenze di Sistema → Rete.
Da lì, seleziona la tua connessione di rete attiva nella colonna di sinistra (come Wi-Fi, Ethernet e così via), quindi fai clic su Avanzate pulsante. Ora fai clic su Proxy linguetta.
Se Configurazione automatica del proxy è stato abilitato nella colonna di sinistra e il campo sotto l'intestazione File di configurazione proxy punta all'URL che inizia con "127.0.0.1:5555", il malware sta già instradando tutto il tuo traffico attraverso un server proxy non autorizzato.
Basta eliminare questa voce per impedire il routing del traffico.
Il malware installa due LaunchAgent che inizieranno con l'avvio del sistema:
- / Utenti / IL TUO NOME UTENTE / Libreria / LaunchAgents / com.apple.Safari.proxy.plist
- / Utenti / IL TUO NOME UTENTE / Libreria / LaunchAgents / com.apple.Safari.pac.plist
Se trovi questi file nelle posizioni sopra, eliminali immediatamente.
Infine, controlla l'esistenza del falso certificato più sicuro chiamato "COMODO RSA Extended Validation Secure Server CA 2" nella sezione Sistema dell'app Accesso Portachiavi nella cartella / Applicazioni / Utilità /.
Se il certificato è installato sul tuo Mac, eliminalo.
Come proteggerti?
OSX / DOK è il primo malware su vasta scala indirizzato agli utenti Mac tramite una campagna di phishing e-mail coordinata.
Il primo punto di attacco si basa sull'apertura da parte dell'utente di un allegato pericoloso in un messaggio di posta elettronica. Non aprire allegati sospetti, soprattutto se il file allegato è denominato "Dokument.ZIP". Fai attenzione ai messaggi di phishing contenenti GIF animati o quelli relativi a presunte incoerenze nelle dichiarazioni dei redditi.
Controlla sempre le intestazioni per confermare la validità del mittente.
Se il file malware si è fatto strada sul tuo sistema, non interagire con i messaggi dall'aspetto sospetto che fingono di essere finestre di dialogo macOS valide, soprattutto se chiedono la password di root senza motivo apparente. Apple non invia mai messaggi di avviso se il tuo Mac richiede un aggiornamento del software. Tutti gli aggiornamenti del software macOS sono distribuiti esclusivamente tramite Mac App Store.
Se si utilizza un'app antivirus, aggiornare manualmente il database delle firme.
Al momento della stesura di questo documento, nessun fornitore di antivirus ha aggiornato il proprio database di firme con malware DOK OS X, ma questo cambierà presto. Questo problema di malware verrà completamente risolto non appena Apple revoca il falso certificato di sicurezza che il suo autore ha abusato di bypassare la funzionalità di sicurezza di Gatekeeper.
Fonte: The Hacker News, CheckPoint
