Ένα άκρως επικίνδυνο malware διανέμεται μέσω μιας συντονισμένης εκστρατείας email phishing, υποκλέπτοντας το traffic των χρηστών – συμπεριλαμβανομένων και των κρυπτογραφημένων μέσω SSL επικοινωνιών.
Το Dok malware ανακαλύφθηκε από ερευνητές ασφάλειας της Check Point, οι οποίοι αναφέρουν ότι το κακόβουλο λογισμικό επηρεάζει όλες τις εκδόσεις του Μac OS X και είναι ψηφιακά μη ανιχνεύσιμο στο VirusTotal. Αυτό που κάνει τα πράγματα χειρότερα είναι ότι το κακόβουλο λογισμικό διαθέτει ψηφιακή υπογραφή από την Apple, έχοντας λάβει έγκυρο πιστοποιητικό προγραμματιστή.
Όταν η μόλυνση ενός συστήματος με το Dok ολοκληρωθεί, οι επιτιθέμενοι καταφέρνουν να αποκτήσουν πλήρη πρόσβαση σε όλες τις επικοινωνίες των θυμάτων, συμπεριλαμβανομένων εκείνων που έχουν κρυπτογραφηθεί μέσω SSL.
Οι ερευνητές ασφάλειας ανακάλυψαν ότι το κακόβουλο λογισμικό στοχεύει κυρίως ευρωπαίους χρήστες και η τεχνική phishing που χρησιμοποιείται είναι αρκετά περίπλοκη. Ένα από τα δείγματα email που έχει εντοπιστεί ενημερώνει το υποψήφιο θύμα για υποτιθέμενη ασυνέπεια στη φορολογική του δήλωση.
Το κακόβουλο λογισμικό εμπεριέχεται σε ένα αρχείο με την ονομασία Dokument.zip. Μόλις εκτελεστεί, το κακόβουλο λογισμικό αυτο-αντιγράφεται στο /Users/Shared/Folder και αρχίζει να εκτελείται. Στη συνέχεια εμφανίζεται ένα αναδυόμενο παράθυρο που αναφέρει πως το αρχείο είναι κατεστραμμένο και δεν μπορεί να εκτελεστεί.
Στην πραγματικότητα, εάν υπάρχει κάποιο loginItem με την ονομασία “AppStore”, το κακόβουλο λογισμικό το διαγράφει και προστίθεται το ίδιο αντ’ αυτού. Με τον τρόπο αυτό το malware παραμένει στο σύστημα και εκτελείται αυτόματα κάθε φορά που το σύστημα επανεκκινείται, έως ότου ολοκληρώσει την εγκατάσταση του payload του.
Στη συνέχεια εμφανίζεται ένα νέο παράθυρο που ενημερώνει τα θύματα πως έχει εντοπιστεί ένα ζήτημα ασφαλείας στο λειτουργικό τους για το οποίο είναι διαθέσιμη μια νέα ενημέρωση.
Οι χρήστες δεν μπορούν να έχουν πρόσβαση σε κανένα παράθυρο ή να χρησιμοποιήσουν τον υπολογιστή μέχρι να εισάγουν τον κωδικό πρόσβασης που τους ζητείται για την ολοκλήρωση της υποτιθέμενης διαδικασίας ενημέρωσης του συστήματός τους και τότε το κακόβουλο λογισμικό ολοκληρώνει την εγκατάστασή του.
Μόλις συμβεί αυτό, ένα νέο root certificate εγκαθίσταται στη μολυσμένη συσκευή, η οποία επιτρέπει στους εγκληματίες του κυβερνοχώρου να παρακολουθoύν το traffic των θυμάτων, μέσω της τεχνικής επιθέσεων Man in The Middle (MiTM).
“Το κακόβουλο λογισμικό αλλάζει τις ρυθμίσεις δικτύου του θύματος έτσι ώστε όλες οι εξερχόμενες συνδέσεις να περνούν από ένα διακομιστή διαμεσολάβησης, ο οποίος αποκτάται δυναμικά από ένα αρχείο Proxy AutoConfiguration (PAC) που βρίσκεται σε έναν κακόβουλο διακομιστή”, σημειώνουν οι ερευνητές.
