Вредоносная программа Stealthy Mac шпионит за зашифрованным трафиком браузера

Исследователи обнаружили новую вредоносную программу для macOS, которая имеет цифровую подпись, и устанавливает поддельный корневой сертификат для выполнения атак типа «человек в середине».

Новая вредоносная программа, предназначенная для пользователей macOS, способна отслеживать зашифрованный трафик браузера, чтобы украсть конфиденциальную информацию.

Новая программа, получившая название OSX / Dok от исследователей из Check Point Software Technologies, была распространена по электронной почте посредством фишинговых кампаний для пользователей в Европе.

Одно из писем-изгоев было создано так, чтобы оно было отправлено швейцарским правительственным агентством, предупреждающим получателей о явных ошибках в их налоговых декларациях. Вредоносная программа была прикреплена к электронной почте в виде файла под названием Dokument.zip.

Что делает OSX / Dok интересным, так это то, что он был подписан цифровой подписью с действующим сертификатом разработчика Apple. Эти сертификаты выдаются Apple членам своей программы для разработчиков и необходимы для публикации приложений в официальном Mac App Store.

Приложения, подписанные с сертификатом разработчика Apple, также могут быть установлены на последних версиях macOS, не вызывая ошибки безопасности или не требующие ручного переопределения, поэтому нетрудно понять, почему это было бы ценно для вредоносной программы.

Неясно, заплатили ли разработчики Dok для получения сертификата разработчика, присоединившись к программе разработчика Apple поддельным именем или украли сертификат у законного разработчика.

После установки на Mac OSX / Dok отображает поддельное и постоянное уведомление об обновлении безопасности системы, которое необходимо установить. Пользователям, которые согласятся установить обновление, будет предложено ввести пароль администратора.

После того, как вредоносное ПО получит повышенные привилегии, это сделает активного пользователя постоянным администратором, чтобы ОС никогда не запрашивала пароль снова, когда вредоносное ПО выполняет привилегированные команды в фоновом режиме.

Dok также изменит сетевые настройки системы для маршрутизации веб-трафика через прокси-сервер, контролируемый злоумышленниками и расположенный в сети анонимности Tor. Для этого он также устанавливает клиент Tor, который запускается автоматически.

Причина, по которой веб-трафик направляется через прокси-сервер, — это выполнить атаку «человек в середине» (MitM) и расшифровать безопасные HTTPS-соединения. Это достигается установкой в систему корневого сертификата жулика, который затем используется для дешифрования и повторного шифрования HTTPS-соединений при прохождении через прокси.

С помощью этого метода пользователи будут по-прежнему видеть визуальный индикатор SSL в своем браузере при доступе к веб-сайтам HTTPS, и браузер не будет жаловаться на ненадежные сертификаты.

Возможность отслеживать трафик HTTPS позволяет злоумышленникам украсть важную информацию, такую как пароли для электронной почты; Социальные сети и банковские счета в Интернете; Данные кредитной карты, введенные на торговых сайтах; Личная и финансовая информация, вводимая в веб-формы; и более.

Теперь, когда более половины всего веб-трафика в обычном браузере пользователя зашифровано, неудивительно, что злоумышленники прибегают к методам «человек в середине» для сбора конфиденциальных данных.

Этот и другие возможности делают Док одной из самых современных вредоносных программ, нацеленных на macOS на сегодняшний день, не считая программ-шпионов, созданных или используемых национальными штатами и правоохранительными органами.

«Мы были и до сих пор находимся в прямом контакте с Apple [сотрудниками], которые очень полезны и отзывчивы», — сказал по электронной почте Yaniv Balmas, руководитель исследовательской группы Check Point по вредоносным программам. «Благодаря сотрудничеству Apple мы считаем, что эта конкретная кампания сейчас бесполезна и больше не представляет угрозы для пользователей Mac».

Check Point ищет соответствующие атаки и другие возможные варианты этого вредоносного ПО, которое до сих пор оставалось нераскрытым.

«Лучший способ избежать заражения этим и подобным вредоносным программным обеспечением — оставаться начеку, открывая электронные письма и файлы из не доверенных или неизвестных источников»

Comments are closed.