برنامه بدافزار جدیدی که کاربران MacOS را هدف قرار می دهد ، قادر به جاسوسی در ترافیک مرورگر رمزگذاری شده برای سرقت اطلاعات حساس است.

برنامه جدید ، با نام OSX / Dok توسط محققان از Check Point Software Technologies ، از طریق کمپین های فیشینگ الکترونیکی توزیع شد.

یکی از ایمیل های سرکش دستکاری شد تا گویا توسط یک آژانس دولتی سوئیس به گیرندگان هشدار دهنده در مورد خطاهای ظاهری در اظهارنامه مالیاتی ارسال شود. این بدافزار به عنوان پرونده ای به نام Dokument.zip به ایمیل وصل شد.

آنچه OSX / Dok را جالب می کند این است که به صورت دیجیتالی با گواهی معتبر توسعه دهنده اپل امضا شده است. این گواهینامه ها توسط اپل به اعضای برنامه توسعه دهنده آن صادر می شود و برای انتشار برنامه ها در فروشگاه رسمی Mac App مورد نیاز است.

برنامه های امضا شده با گواهینامه توسعه دهنده صادر شده توسط اپل همچنین می توانند بر روی آخرین نسخه های macOS بدون ایجاد امنیت نصب شوند. خطاها یا نیاز به نادیده گرفتن دستی ، بنابراین سخت نیست که بدانید چرا این امر برای یک برنامه بدافزار ارزشمند خواهد بود.

مشخص نیست که سازندگان Dok با پیوستن به برنامه توسعه دهنده اپل با هویت جعلی و یا اینکه آنها را دزدیدند ، هزینه دریافت گواهینامه برنامه نویس را پرداخت کرده اند یا خیر. گواهی یک توسعه دهنده قانونی.

پس از نصب بر روی Mac ، OSX / Dok یک اخطار جعلی و مداوم درباره یک به روزرسانی امنیتی سیستم که باید نصب شود نشان می دهد. کاربرانی که موافقت خود را برای نصب به روزرسانی می کنند از پسورد سرپرست خود خواسته می شوند.

پس از بدست آوردن بدافزار از امتیازات ارتقا یافته ، کاربر فعال را به یک مدیر دائمی تبدیل می کند بنابراین OS هنگام اجرای بدافزار دستورات ممتاز را دوباره نمی خواهد از این پسورد بخواهید.

Dok همچنین تنظیمات شبکه سیستم را برای مسیریابی ترافیک وب از طریق سرور پراکسی تحت کنترل مهاجمین و واقع در شبکه ناشناس Tor ، تغییر می دهد. برای اینکه این کار کند ، یک سرویس گیرنده Tor را نیز که به طور خودکار آغاز شده است ، نصب می کند.

دلیل اینکه ترافیک وب از طریق سرور پروکسی هدایت می شود ، انجام یک حمله شخصی در میانه (MitM) و رمزگشایی HTTPS امن است. اتصالات این امر با نصب یک گواهی ریشه سرکش بر روی سیستم انجام می شود که سپس برای رمزگشایی و رمزگذاری مجدد اتصالات HTTPS هنگام عبور از پروکسی استفاده می شود.

با این روش ، کاربران همچنان نشانگر بصری SSL را در مرورگر خود مشاهده می کنند. هنگامی که آنها به وب سایت های HTTPS دسترسی پیدا می کنند و مرورگر از گواهینامه های غیر قابل اعتماد شکایت نخواهد کرد.

امکان تعقیب در ترافیک HTTPS به مهاجمان اجازه می دهد تا اطلاعات حساس مانند گذرواژه ها را برای ایمیل سرقت کنند. رسانه های اجتماعی و حساب های بانکی آنلاین؛ جزئیات کارت اعتباری که در وب سایت های خرید وارد شده است. اطلاعات شخصی و مالی وارد فرم های وب.

با بیش از نیمی از کل ترافیک وب در یک مرورگر کاربر متوسط ​​که اکنون رمزگذاری شده است ، جای تعجب ندارد که مهاجمان برای گرفتن داده های حساس به تکنیک های میان فردی متوسل شوند.

این و سایر قابلیت ها Dok را به یکی از پیچیده ترین برنامه های بدافزار تبدیل کنید که تا به امروز macOS را هدف قرار داده است ، بدون شمارش برنامه های جاسوسی ایجاد شده یا استفاده شده توسط ایالت های کشور و سازمان های اجرای قانون.

"ما با اپل [employees] که بسیار هستیم با هم در ارتباط مستقیم بوده ایم و هنوز در ارتباط هستیم. مفید و پاسخگو ، "Yaniv Balmas ، رهبر تیم تحقیقات بدافزار Check Check Point ، از طریق ایمیل گفت. "با همکاری اپل ، ما معتقدیم که این کمپین خاص اکنون بی نتیجه است و دیگر هیچ تهدیدی برای کاربران مک ایجاد نمی کند."

Check Point به دنبال کمپین های حمله ای مرتبط و سایر انواع ممکن این بدافزار است که ممکن است تاکنون کشف نشده باشد.

Balmas گفت: "بهترین راه برای جلوگیری از آلوده شدن به این نوع بدافزارها ، هشیار بودن در هنگام باز کردن ایمیل و پرونده ها از منابع غیرقابل اعتماد یا ناشناخته است."