In der Wildnis wurde eine neue Art von Man-in-the-Middle-Angriff auf den Mac von Apple entdeckt. Als OSX / DOK bezeichnet, basiert es auf einer neuen Art von MacOS-Malware, die mithilfe eines gefälschten Sicherheitszertifikats den Schutz von Apple Gatekeeper umgeht. Bekannte Antivirenprogramme können derzeit OSX / DOK nicht erkennen.
Die Hacker News und Untersuchungen bei CheckPoint erklären, dass die Malware alle Versionen von macOS betrifft, indem sie ein gültiges, von Apple signiertes Entwicklerzertifikat verwendet. Hier erfahren Sie, was OSX / DOK macht, wie es funktioniert, wie Sie feststellen, ob Sie betroffen sind und was Sie tun können, um sich selbst zu schützen und solche Angriffe in Zukunft zu vermeiden.
Was ist OSX / DOK??
OSX / DOK ist eine neue Art von Malware, die über eine E-Mail-Phishing-Kampagne verbreitet wird.
Es wurde speziell für Mac-Besitzer entwickelt. OSX / DOK betrifft alle MacOS-Versionen und kann die Erkennung durch die meisten Antivirenprogramme verhindern. Es ist mit einem gültigen Entwicklerzertifikat signiert, das von Apple authentifiziert wurde. Dies bedeutet, dass es von der Gatekeeper-Sicherheitsfunktion von macOS nicht erkannt wird.
Wie befällt OSX / DOK Ihren Mac??
Das Malware-Bundle befindet sich in einem ZIP-Archiv mit dem Namen „Dokument.zip“.
Nach der Ausführung kopiert sich die Malware zunächst in den Ordner / Users / Shared / Ihres Mac, bevor sie sich von diesem Speicherort aus ausführt. Anschließend wird ein neues Stammzertifikat installiert, mit dem der Datenverkehr mit einem Man-in-the-Middle-Angriff abgefangen werden kann. Um sicherzustellen, dass die Malware ihre Nutzdaten vor einem Neustart installiert, fügt sie sich selbst als macOS-Anmeldeelement mit dem Namen "AppStore" hinzu..
Als nächstes wird der Benutzer mit einem dauerhaften Fenster begrüßt, das wie eine gültige macOS-Warnung aussieht, wie Sie auf dem Screenshot unten sehen. Das Fenster informiert den Benutzer über ein vermeintliches Sicherheitsproblem auf seinem Mac, das ein Update erfordert. Die Nachricht hindert den Benutzer daran, auf seinem Computer etwas zu tun, bis er die gefälschte Aktualisierungsaufforderung akzeptiert.
Durch Klicken auf die Schaltfläche Alle aktualisieren wird eine weitere Eingabeaufforderung angezeigt, in der Sie nach Ihrem Kennwort gefragt werden.
Sobald das Kennwort eingegeben wurde, erhält die Malware Administratorrechte auf Ihrem Mac.
Mit diesen Berechtigungen werden Befehlszeilentools installiert, mit denen eine Verbindung zum dunklen Web hergestellt werden kann. Anschließend werden Ihre Netzwerkeinstellungen so geändert, dass alle ausgehenden Verbindungen über einen böswilligen Proxyserver umgeleitet werden, über den der Angreifer Ihre Kommunikation abhören kann.
Einige Phishing-Nachrichten, mit denen die Malware verbreitet wird, richten sich hauptsächlich an Benutzer in Deutschland. Dies bedeutet jedoch nicht, dass nur europäische Benutzer gefährdet sind. Der Malware-Code unterstützt Nachrichten in deutscher und englischer Sprache.
Welchen Schaden richtet OSX / DOK an??
OSX / Dok leitet Ihren Datenverkehr über einen böswilligen Proxy-Server um und ermöglicht bösartigen Benutzern den Zugriff auf Ihre gesamte Kommunikation, einschließlich der mit SSL verschlüsselten. Da ein kompromittiertes Stammzertifikat auf dem System installiert wird, kann der Angreifer sich als eine beliebige Website ausgeben, um Benutzer zur Eingabe ihrer Kennwörter für Banking-Apps und beliebte Onlinedienste zu verleiten.
Wie können Sie feststellen, ob Sie betroffen sind??
Wenn Sie kürzlich eine ZIP-Datei in einer E-Mail-Nachricht geöffnet haben, die Sie nicht erwartet hatten, und nun verdächtig aussehende Eingabeaufforderungen angezeigt werden, in denen Sie nach Ihrem Mac-Kennwort gefragt werden, ist Ihr System möglicherweise mit OS X / DOK infiziert. Da die Malware Ihren Netzwerkverkehr auf einen falschen Proxyserver umleitet, sollten Sie sich daran wagen Systemeinstellungen → Netzwerk.
Wählen Sie dort in der linken Spalte Ihre aktive Netzwerkverbindung aus (z. B. WLAN, Ethernet usw.), und klicken Sie dann auf Fortgeschritten Taste. Klicken Sie nun auf die Proxies Tab.
Wenn Automatische Proxy-Konfiguration wurde in der linken Spalte und im Feld unter der Überschrift aktiviert Proxy-Konfigurationsdatei Verweist die Malware auf die URL, die mit "127.0.0.1:5555" beginnt, leitet sie den gesamten Datenverkehr bereits über einen falschen Proxyserver.
Löschen Sie einfach diesen Eintrag, um die Weiterleitung des Datenverkehrs zu verhindern.
Die Malware installiert zwei LaunchAgents, die mit dem Systemstart beginnen:
- / Users / DEIN BENUTZERNAME / Library / LaunchAgents / com.apple.Safari.proxy.plist
- / Users / DEIN BENUTZERNAME / Library / LaunchAgents / com.apple.Safari.pac.plist
Wenn Sie diese Dateien an den oben genannten Speicherorten finden, löschen Sie sie sofort.
Überprüfen Sie abschließend das Vorhandensein des gefälschten sichersten Zertifikats mit dem Namen "COMODO RSA Extended Validation Secure Server CA 2" im Abschnitt "System" der Keychain Access-App in Ihrem Ordner "/ Applications / Utilities /".
Wenn das Zertifikat auf Ihrem Mac installiert ist, löschen Sie es.
So schützen Sie sich?
OSX / DOK ist die erste große Malware, mit der Mac-Benutzer über eine koordinierte E-Mail-Phishing-Kampagne angesprochen werden.
Der erste Angriffspunkt hängt davon ab, dass der Benutzer einen in böswilliger Absicht erstellten Anhang in einer E-Mail-Nachricht öffnet. Öffnen Sie keine verdächtigen Anhänge, insbesondere wenn die angehängte Datei den Namen "Dokument.ZIP" trägt. Achten Sie auf Phishing-Nachrichten mit animierten GIFs oder auf mögliche Inkonsistenzen in Ihren Steuererklärungen.
Überprüfen Sie immer die Überschriften, um die Gültigkeit des Absenders zu bestätigen.
Wenn die Malware-Datei ihren Weg auf Ihrem System gefunden hat, interagieren Sie nicht mit verdächtig aussehenden Eingabeaufforderungen, die sich als gültige macOS-Dialoge ausgeben, insbesondere wenn sie ohne ersichtlichen Grund nach Ihrem Root-Passwort fragen. Apple gibt keine Warnmeldungen aus, wenn für Ihren Mac ein Software-Update erforderlich ist. Alle macOS-Software-Updates werden ausschließlich über den Mac App Store vertrieben.
Wenn Sie eine Antiviren-App verwenden, aktualisieren Sie die Signaturdatenbank manuell.
Zum Zeitpunkt des Schreibens dieses Dokuments hat noch kein Hersteller von Antivirenprogrammen seine Signaturdatenbank mit DOK OS X-Malware aktualisiert. Dies wird sich jedoch bald ändern. Dieses Malware-Problem wird vollständig behoben, sobald Apple das gefälschte Sicherheitszertifikat widerruft, das sein Autor missbraucht hat, um die Gatekeeper-Sicherheitsfunktion zu umgehen.
Quelle: The Hacker News, CheckPoint
