الباحثين في مجال الأمن من تشيك بوينت الذين يقولون أن البرامج الضارة يؤثر كل نسخة OSX، وغير قابل للكشف تقريبا على فايروس توتال. ما يزيد الطين بلة هو أن البرامج الضارة تم توقيعه باستخدام شهادة المطور صالحة مصادقة byApple.
وبمجرد أن العدوى كاملة، تمكن المهاجمون من الوصول الكامل إلى جميع الاتصالات الضحية، بما في ذلك تلك المشفرة بواسطة SSL.
واكتشف الباحثون أن أمن البرمجيات الخبيثة يستهدف معظمها مستخدمين في أوروبا. تقنية التصيد المستخدمة هي معقدة للغاية. على سبيل المثال، أرسلت مستخدم واحد الألماني على رسالة بخصوص التناقض المفترض في العائدات الضريبية.
ماذا تعمل، أو ماذا تفعل؟
ويرد البرمجيات الخبيثة في أرشيف بتنسيق zip اسمه Dokument.zip وقعت قبل أسبوع واحد فقط من قبل سبعة مولر. مرة واحدة أعدموا نسخ البرمجيات الخبيثة نفسها ل/ المستخدمين / المشتركة / مجلد ويبدأ في تنفيذ نفسها من الموقع الجديد. يظهر المنبثقة يدعي حزمة من damange ولا يمكن تنفيذ في الواقع.
في الواقع، إذا كان هناك loginItem المسمى "أبستور"، والبرمجيات الخبيثة حذف ذلك ويضيف نفسها على هذا النحو بدلا من ذلك.
"تطبيق خبيث وبعد ذلك إنشاء نافذة على رأس كل النوافذ الأخرى. ويتضمن هذا نافذة جديدة الرسالة، مدعيا تم التعرف على مشكلة أمنية في نظام التشغيل الذي يتوفر تحديث، وأن المضي قدما في التحديث، المستخدم أن إدخال كلمة المرور كما هو مبين في الصورة أدناه. يتحقق البرمجيات الخبيثة توطين النظام، ويدعم الرسائل باللغتين الألمانية والإنجليزية، "تشيك بوينت يكتب.
الضحية لا يمكن الوصول إلى أي windoes أو استخدام الكمبيوتر حتى إدخال كلمة المرور وتركيب الانتهاء من البرمجيات الخبيثة. وعندما يحدث ذلك، والبرمجيات الخبيثة يحصل امتيازات مشرف الذي يستخدم لتثبيت الشراب، مدير مجموعة لأجهزة ماكينتوش. ومن ثم يقوم بتثبيت TOR وSOCAT.
"البرمجيات الخبيثة ثم تغيير إعدادات الشبكة في نظام الضحية بحيث كل الاتصالات الصادرة سيمر من خلال وكيل، التي يتم الحصول عليها بشكل حيوي من ملف وكيل التكوين التلقائي (PAC) يجلس في الخادم الخبيثة"، لاحظ الباحثون.
ثم يتم تثبيت شهادة جذر جديدة على الجهاز المصاب، والذي يسمح لمجرمي الانترنت لاعتراض حركة المرور الضحية. ويمكن أن انتحال شخصية أي موقع دون معرفة المجني عليه.
A new Mac malware was discovered in the wild, which doesn't happen all too often. Dok, as it was dubbed, might very well be the first major scale malware directed at Mac owners through a coordinated email phishing campaign.
The discovery was made by security researchers from Check Point who say that the malware affects all OSX version, and is virtually undetectable on VirusTotal. What makes matters worse is that the malware is signed with a valid developer certificate authenticated byApple.
Once the infection is complete, the attackers managed to gain complete access to all victim communications, including those encrypted by SSL.
The security researchers discovered that the malware mostly targets European users. The phishing technique used is quite elaborate. For instance, one German user was sent a message regarding a supposed inconsistency in their tax returns.
What does it do?
The malware is contained in a .zip archive named Dokument.zip signed just a week ago by a Seven Muller. Once executed the malware copies itself to the /Users/Shared/folder and begins to execute itself from the new location. A pop-up appears claiming the package is damange and cannot actually execute.
In reality, if there's a loginItem named "AppStore," the malware deletes it and adds itself as such instead.
"The malicious application will then create a window on top of all other windows. This new window contains a message, claiming a security issue has been identified in the operating system that an update is available, and that to proceed with the update, the user has to enter a password as shown in the picture below. The malware checks the system localization, and supports messages in both German and English," Check Point writes.
The victim can't access any windoes or use the computer until they enter the password and the malware finished installation. Once that happens, the malware gets admin privileges which it uses to install brew, a package manager for Macs. It then installs TOR and SOCAT.
"The malware then changes the victim system’s network settings such that all outgoing connections will pass through a proxy, which is dynamically obtained from a Proxy AutoConfiguration (PAC) file sitting in a malicious server," researchers note.
A new root certificate is then installed on the infected device, which allows the cybercriminal to intercept the victim's traffic. It can impersonate any website without the victim's knowledge.
0 التعليقات :
إرسال تعليق