Эксперты Check Point обнаружили новую вредоносную программу для Mac – OSX/Dok. По словам исследователей, Dok с помощью всплывающих окон получает права администратора, маскирует трафик посредством Tor, а также перехватывает трафик браузера, пользуясь фальшивыми сертификатами.
Впервые вредоносную программу зафиксировали 21 апреля 2017 года. По информации Check Point, сейчас Dok действует прежде всего против пользователей из стран Европы. Распространение вредоносной программы осуществляется посредством спам-писем, замаскированных под уведомления от налоговой инспекции.
К таким письмам прикреплен архив Dokument.zip, содержащий приложение Truesteer.AppStore. Если пользователь запустит его, то на экране появится уведомление об ошибке. В действительности вредоносная программа создает свою копию в другом месте на жестком диске, а оригинальный файл удаляется. Поскольку Dok пользуется сертификатом, подписанным Apple, защитный функционал операционной системы не фиксирует ничего подозрительного.
Dok отображает на экране окно, сообщающее о выявлении в операционной системе проблемы с безопасностью и содержащее рекомендацию об установке обновления, для запуска которого нужно вводить пароль. Пользователь не может работать с устройством, поскольку это окно можно закрыть, лишь выполнив указанные в нем требования.
Получив права администратора, вредоносная программа меняет сетевые настройки системы, загружает файл конфигурации с сервера хакеров и переадресует весь исходящий трафик пользователя на прокси-сервер.
Кроме того, Dok устанавливает в системе новый корневой сертификат, вследствие чего злоумышленники могут перехватить трафик пользователя с помощью атаки типа man-in-the-middle. Хакеры получают возможность перехвата любого трафика, в том числе зашифрованного, а также добавления собственного контента на веб-страницы.