OSX.Dok——感染Apple电脑的恶意软件再次大行其道

OSX.Dok——感染Apple电脑的恶意软件再次大行其道

在我们很大一部分人心中都认为Apple公司的Mac计算机是很安全的,甚至都不用像 Windows 系统那样,必须安装一套杀毒软件。然而随着近年来Mac的发展,也出现了越来越多针对性的恶意软件与病毒。

其中OSX.Dok是2017年首次发现的Mac恶意软件,比大多数针对MacOS的恶意软件更加复杂。当时OSX.Dok让许多Mac用户感到不安,而日前它又再次以新版本重新出现在大众视野中。

OSX.Dok恶意软件

2018年12月25日中午,一个OSX.Dok的新变种签署了一个有效的开发者ID。研究人员第一次发现它是在2019年1月9日。它采用伪装成Adobe PDF文件的形式,要求用户查看该文件。然而在打开时,该文件会占据整个电脑屏幕,阻止用户采取任何措施来阻止该恶意软件在后台安装恶意应用程序。

这款恶意软件可以监听所有的互联网通信,包括安全网站,且无法被Apple Gatekeeper发现。Gatekeeper安全功能无法抵抗OSX.Dok的原因是,这款恶意软件有合格的开发者证书。一旦被OSX.Dok感染,除了被迫安装虚假的OS X升级,用户无法执行任何操作。

OSX.Dok采用钓鱼攻击,受害者会收到谎称来自一些机构的邮件,并诱导受害者在附件中填入自己的详细信息。这款恶意软件会将自己加入启动项,名称为AppStore,这意味着每次及其启动后,该恶意软件都会自动运行。用户中招之后,OSX.Dok恶意软件会获取计算机的管理权限,并安装一个新的根证书,然后完全截获受害者的所有网络流量,包括SSL加密流量。

分发方式

此次攻击活动中发现的OSX.Dok是通过一个名为“DHL Dokument.dmg”或“Strichkode DHL Express.dmg”的DMG package(一款安装包制作工具)提供的,并使用捆绑标识符“Swisscom.Application”。值得一提的是,这里的DHL是一家德国邮政服务和国际快递公司。

OSX.Dok——感染Apple电脑的恶意软件再次大行其道

然而OSX.Dok恶意软件的早期版本却是通过针对欧洲用户的网络钓鱼活动进行分发的。它通过使用假的预览图标伪装成合法的应用程序包。

现在,OSX.Dok的新变种采用伪装成Adobe PDF文件的形式,应用程序包名称为“Dokument”。安装后,它会使用德语指示用户双击图标。这表明攻击者再次瞄准欧洲用户。

OSX.Dok——感染Apple电脑的恶意软件再次大行其道

虚假AppStore和更新界面

如果用户双击Dokument.app,会启动各种任务在后台安装一系列应用程序,并在整个屏幕上显示更新界面。网络安全公司Security Boulevard 记录了 OSX.Dok的活动,简要介绍了该恶意软件在更新屏幕后如何接管完全控制。

OSX.Dok——感染Apple电脑的恶意软件再次大行其道

这一应用程序能够禁用键盘功能,因此用户无法取消或强制退出此界面。虽然我们并不经常在MacOS上看到这种方式,但这并不是黑客们最新发明的新攻击手段。相反,恶意软件开发人员只是利用了游戏开发人员使用的相同Apple API来产生沉浸式体验效果,并迫使用户进入特定的游戏环境。

这种“游戏体验”意味着能够阻止用户关闭正在运行的安装进程或恶意软件的其他恶意活动。在此期间,部分设备虽然能够重新启用键盘以允许受害者在弹出对话框中键入授权凭证。然而点击“取消”并没有什么意义,因为对话框会反复出现。在这种情况下,阻止执行这些安装进程的唯一方法是强制关闭系统,然后以安全模式启动。这将确保恶意软件及其附加文件不会对系统造成进一步的破坏。

根据Security Boulevard的分析,大约43个系统在一天内遭到了破坏。研究人员已经向Apple公司通知了此恶意软件,并建议用户谨慎对待网络钓鱼电子邮件。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134262.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code