Apple撤銷被OSX/DoK惡意程式使用的認證

Apple近日撤銷了被惡意程式OSX/DoK所利用的合法開發人員認證,它能夠竊聽受感染系統的安全HTTPS傳輸,而且更新內置的防毒軟件XProtect以防護現時或未來由OSX和DKoK所發動的公式。

SSL受保護資被盜
上星期研究人員發現到SOK/DoK,受影響系統容許惡意的第三方取得受害人通訊的完整內容,包括受到SSL保護的內容,受影響人士暫時無法估計。攻擊者不但能夠竊聽SSL保護的通訊,更能重新定向受害者的傳輸到惡意的代理伺服器。

當嘗試瀏覽網頁時,用戶的瀏覽器會首先向匿名網絡上的代理伺服器查詢,然後所有傳訊都通過這個伺服器,黑客便能夠扮演「中間人」的角色並冒認用戶嘗試瀏覽的網站,完全自由地閱讀篡改受害人來往的訊息。

針對歐洲用戶以電郵散播
OSX/DoK透過釣魚電郵散播,主要針對歐洲用戶,電郵會偽裝成瑞士稅務局,並且載有「Dokument.zip」的惡意附件,任何用戶雙擊讓壓縮檔便會開始安裝程序,複制自己到硬盤然後執行,然後會彈上訊息該軟件包已受損無法打開。如果程式發現登錄項目中有「AppStore」的名字存在,惡意程式便會把它刪除並以自己取代,持久停留在系統並且每次系統重開都會自動執行,直至它完成所有安裝步驟為止。

強迫輸入管理員密碼
受害者會看到一個驚告視窗要求輸入密碼,如果不輸入,將無法存取任何其他視窗或使用自己的裝置,但是,如果受害者輸入密碼,黑客便會立即取得該系統上的管理員權限。該權限將被用作安裝其他工具,例如Tor和SOCAT,之後便會改變用戶的網絡設定,令裝置所有傳輸都會經過由黑客控制的代理伺服器。

首次大型攻擊針對OSX用戶
OSX/DoK的特別之處,是它可以感染所有OSX版本但是一直沒有被發現,並且取得合發開發人員的認證,也是首次有黑客對OSX用戶透過釣魚電郵發動大規模攻擊。由於惡意程式取得合法認證,所以MacOS的保安功能判定它為合法,然後就一直在未被發現下為所欲為。

資料來源:Threatpost