OSX / Dok kan läsa krypterad webbtrafik, öppna en bakdörr
Säkerhetsforskare upptäckte förra fredagen en ny del av Mac-skadlig programvara, namnet OSX / Dok, som påverkar alla versioner av OS X, inklusive den senaste macOS Sierra. Efter installationen kan OSX / Dok fånga upp all din webbtrafik, även den som överförs via HTTPS.
Dolda tillsammans med Dok hittade Integos forskargrupp för skadlig programvara en annan variant av skadlig programvara, kallad “Bella”, som är mycket lika på ytan men installerar en Remote Access Trojan (RAT) på infekterade Mac-datorer. Intego VirusBarrier med uppdaterade malware-definitioner kommer att upptäcka och utrota varje komponent som OSX / Dok.A och OSX / Dok.B respektive.
Vad är infektionsvektorn?
OSX / Dok sprids genom nätfiske-kampanjer och sågs posera som ett e-postmeddelande med frågor om skattedeklarationer, skrivna på tyska. Enligt Check Point-forskare riktar OSX / Dok sig mest till europeiska Mac-användare, vilket vi kommer att notera verkar korrekta eftersom dessa phishing-e-postmeddelanden inte har rapporterats på andra språk.
Phishing-e-postmeddelandet innehåller en Dokument.zip-fil som, när den öppnas, visar en fil med namnet “Dokument”, som använder en gammal ikon för förhandsgranskningsprogram som inte har använts sedan OS X 10.9 Mavericks (och en dålig kvalitet på det).
Jämfört med den faktiska Preview-appikonen som använts fram till OS X 10.9 Mavericks, kan du se i bilden ovan att kvaliteten är mycket dålig. För smarta Mac-användare är detta en omedelbar giveaway att något är fel. På Mac-datorer som kör OS X 10.10 Yosemite eller nyare har ikonen för förhandsgranskning faktiskt förändrats, så det blir ännu lättare att upptäcka falska.
Var installeras OSX / Dok.A?
När dokumentfilen öppnas visas en falsk varning medan skadlig program AppStore.app placeras i / Användare / Delad / -mappen.
Nu på sin nya plats kommer OSX / Dok att köra sig själv och ge alla användare på systemet tillstånd att köra skadlig kod, ta bort den ursprungliga applikationskopian och placera sig själv i inloggningsobjekten för att säkerställa att den får en chans att installera sin nyttolast.
OSX / Dok visar sedan ett helskärmsmeddelande om att ett säkerhetsproblem har identifierats och uppdateringar krävs. Det här fönstret kan inte flyttas eller stängas.
Denna falska säkerhetsvarning är ett knep för att få ditt administratörslösenord. Det ber om ditt lösenord när du klickar på knappen “Uppdatera allt”. Fönstret håller sig uppe i cirka 5 minuter medan i bakgrunden flera ändringar av systemet görs. Dessa förändringar inkluderar installation av brygga, vilket i sin tur underlättar installationen av TOR och SOCAT. Om OSX / Dok får administratörsbehörighet, tack vare det angivna lösenordet, ger det administratörsbehörighet varhelst det behövs utan att användaren någonsin ser ett lösenordsmeddelande igen. Detta görs genom att ändra sudoers-filen.
När Dok är klar stängs helskärmsfönstret och inloggningsobjektet tas bort. Inloggningsobjektet ersätts dock med flera LaunchAgents i / Users / * User * / Library / LaunchAgents.
com.apple.Safari.pac.plist
com.apple.Safari.proxy.plist
homebrew.mxcl.tor.plist
Andra systemändringar som görs inkluderar en ändring av nätverksinställningarna för att ställa in en proxy och installationen av ett rotcertifikat i System.keychain, vilket gör det möjligt för angriparen att fånga upp all webbtrafik som skickas genom den proxyen. Offren vet inte att deras information fångas upp, noterade Check Point:
Genom att missbruka offrets nyvunna förtroende för detta falska certifikat kan angriparen utge sig för vilken webbplats som helst och offret blir ingen klokare.
Proxyinställningen kan visas genom att öppna Systeminställningar > Nätverk > Välj din aktiva nätverksanslutning > Avancerad > Ombud.
Öppna Applikationer > Verktyg > Åtkomst till nyckelringoch välj Systemet Nyckelring. Där kan du se rotcertifikatet Dok installerat.
Som ett resultat av alla ovanstående åtgärder, när du försöker surfa på webben, kommer användarens webbläsare först be angriparens webbsida på TOR om proxyinställningar. Användartrafiken omdirigeras sedan via en proxy som kontrolleras av angriparen, som utför en Man-In-the-Middle-attack och efterliknar de olika webbplatserna som användaren försöker surfa. Angriparen är fri att läsa offrets trafik och manipulera den på vilket sätt de vill.
En ytterligare överraskning: OSX / Dok.B
Tillsammans med upptäckten av Dok hittade Integos forskargrupp för skadlig programvara en annan skadlig kod, kallad “Bella”, identifierad av Intego VirusBarrier som OSX / Dok.B. Även om det är relaterat till OSX / Dok.A, verkar dess beteende vara mycket annorlunda än den andra versionen.
Skadlig kod kommer som en .zip-fil, med namnet Dokument.zip, och innehåller en applikation med namnet Dokument. Precis som ovan nämnda skadliga program installerar den en AppStore-applikation i / Användare / Delad /. Ansökan undertecknas också med samma certifikat. Det är där likheterna slutar.
OSX / Dok.B visar inte ett helskärmsfönster som hävdar att programuppdateringar måste installeras. Istället installerar den en bakdörr som heter Bella, som är öppen källkod och tillgänglig på GitHub. Bella använder en Command & Control-server (C&C) i Ryssland och kan exfiltrera iOS-säkerhetskopior, nyckelringar, iMessage-chatthistorik och skärmdumpar. Det kan också fiska efter lösenord, fånga data från din kamera och mikrofon och mer. Kort sagt är Bella en fullfjädrad Trojan (Remote Access Trojan) som inte lämnar några synliga spår på det infekterade systemet.
Medan OSX / Dok.A ändrade systemets nätverksinställningar och lämnade synliga filer i mappen användare / Bibliotek / LaunchAgents, gör OSX / Dok.B inga synliga ändringar av några systeminställningar och filerna som placeras i biblioteket är osynliga.
Följande filer placeras i användarbiblioteket:
~ / Bibliotek / Behållare / .bella / Bella
~ / Bibliotek / Behållare / .bella / bella.db
~ / Library / LaunchAgents / com.apple.iTunes.plist
Om Bella kunde få root-åtkomst kommer dessa objekt att hittas i rotbiblioteket istället.
Bör Mac-användare vara oroliga för OSX / Dok?
I skrivande stund har Apple redan återkallat utvecklarcertifikatet som användes för att signera de skadliga applikationerna, vilket borde undvika ytterligare infektioner. Denna typ av skadlig kod kan vara mycket farlig eftersom den kan fånga upp trafik som ska vara säker och äventyra en mängd användardata. Tänk bara på vad som kan hända om dina inloggningsuppgifter för internetbanken fångas upp.
Hur man vet om din Mac är infekterad (och instruktioner för borttagning)
- Öppna Systeminställningar > Nätverk > Välj din aktiva nätverksanslutning > Avancerad > Ombud. Om en automatisk proxy-konfiguration är inställd som visas i bilden tidigare i den här artikeln, var din Mac Dok’d. Avmarkera proxyen, klicka på OK och tillämpa ändringarna.
- Ta en titt i Användare/Delad mapp. Om AppStore-applikationen finns, ta bort den.
- Leta efter följande filer i din användarmapp / Bibliotek / LaunchAgents:
- com.apple.Safari.pac.plist
- com.apple.Safari.proxy.plist
- homebrew.mxcl.tor.plist
Om dessa filer finns, ta bort dem.
För att manuellt söka efter osynliga filer som OSX / Dok.B har placerats måste du först göra osynliga filer synliga i Finder. I macOS Sierra kan detta snabbt göras med följande tangentkombination:
Command-Shift-. (period)
För äldre OS X-versioner kan detta göras genom att skriva följande kommandon i Terminal-appen:
$ standard skriver com.apple.Finder AppleShowAllFiles true
$ killall Finder
När du är klar anger du samma kommandon men ändrar “true” till “false”.
Med de dolda filerna nu synliga, kontrollera både rotbiblioteket och användarbiblioteket för dessa filer:
- /Containers/.bella/Bella
- /Containers/.bella/bella.db
- /LaunchAgents/com.apple.iTunes.plist
För Intego VirusBarrier-kunder kommer skyddet i form av uppdaterade virusdefinitioner, som kommer att upptäcka och ta bort alla OSX / Dok-filer. Men för att VirusBarrier ska kunna ta tag i dessa uppdaterade definitioner måste den proxy som ställts in av OSX / Dok först inaktiveras om du befanns vara infekterad innan dessa definitioner gjordes tillgängliga. Så länge proxyen är på kommer VirusBarrier inte att kunna kontakta uppdateringsservrarna. Intego VirusBarrier upptäcker alla OSX / Dok-komponenter som OSX / Dok.A och OSX / Dok.B.
Hur du skyddar dig mot OSX / Dok
Nätfiskebedrägerier är fortfarande mycket populära; även med de flesta som är medvetna om det är framgångsgraden så hög att angripare fortsätter att använda strategin. Öppna aldrig e-postbilagor om du inte hade förväntat dig den bilagan och känner till personen den kom ifrån. Om det råder något tvivel, ring personen som förmodligen skickade e-postmeddelandet för att verifiera att det är riktigt.
OSX / Dok visar återigen hur lätt det är för ett utvecklarcertifikat att missbrukas och hur effektivt det är att kringgå macOS inbyggda Gatekeeper-skydd. Håll dig vaksam och undvik att ladda ner alla bifogade filer som du får, så minimerar du risken för att installera skadlig programvara, särskilt OSX / Dok.
Om Mike Jones
Mike Jones är en IT-konsult med en passion för Mac-säkerhetsforskning. Han utför oberoende skyddstester mot skadlig kod och skriver också om sekretess och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Det här inlägget postades i Malware, rekommenderas och taggas Bella, OSX / Dok, OSX / Dok.A, OSX / Dok.B. Bokmärk permalänken.