Jenis baru serangan manusia-di-tengah telah terdeteksi di alam liar, menargetkan Mac Apple. Dijuluki OSX / DOK, itu bergantung pada jenis baru malware macOS yang memanfaatkan sertifikat keamanan palsu untuk mem-bypass perlindungan Gatekeeper Apple. Program anti-virus populer saat ini tidak dapat mendeteksi OSX / DOK.
Peretas Berita dan penelitian di CheckPoint menjelaskan bahwa malware mempengaruhi semua versi macOS dengan menggunakan sertifikat pengembang yang sah yang ditandatangani oleh Apple. Inilah yang dilakukan OSX / DOK, cara kerjanya, cara mengetahui apakah Anda terpengaruh dan apa yang dapat Anda lakukan untuk melindungi diri sendiri dan menghindari serangan seperti ini di masa depan.
Apa itu OSX / DOK?
OSX / DOK adalah jenis malware baru yang didistribusikan melalui kampanye phishing email.
Ini dirancang untuk secara khusus menargetkan pemilik Mac. OSX / DOK memengaruhi semua versi macOS dan dapat menghindari deteksi oleh sebagian besar program anti-virus. Itu ditandatangani dengan sertifikat pengembang yang valid yang disahkan oleh Apple, yang berarti ia menghindari deteksi oleh fitur keamanan Gatekeeper macOS.
Bagaimana OSX / DOK menginfeksi Mac Anda?
Bundel malware terdapat dalam arsip .ZIP bernama “Dokument.zip.”
Setelah dieksekusi, malware pertama-tama akan menyalin dirinya sendiri ke folder Mac / Pengguna / Dibagi / Anda sebelum mengeksekusi sendiri dari lokasi itu. Kemudian mulai menginstal sertifikat root baru yang memungkinkannya mencegat lalu lintas Anda dengan serangan man-in-the-middle. Untuk memastikan malware selesai menginstal muatan sebelum reboot, itu menambahkan dirinya sebagai Item Login macOS bernama "AppStore".
Selanjutnya, pengguna disambut dengan jendela persisten yang dirancang agar terlihat seperti peringatan macOS yang valid, seperti yang Anda lihat pada tangkapan layar di bawah ini. Jendela memberi tahu pengguna tentang masalah keamanan yang seharusnya ada di Mac mereka yang memerlukan pembaruan. Pesan mencegah pengguna dari melakukan apa pun di komputer mereka sampai mereka menerima permintaan pembaruan palsu.
Mengklik tombol Perbarui Semua menampilkan pertanyaan lain meminta kata sandi Anda.
Setelah kata sandi diberikan, malware tersebut mendapatkan hak istimewa administrator di Mac Anda.
Menggunakan hak-hak istimewa itu, ia menginstal alat baris perintah yang memungkinkan koneksi ke web gelap. Ini kemudian mengubah Pengaturan Jaringan Anda untuk mengarahkan ulang semua koneksi keluar melalui server proxy jahat yang memungkinkan penyerang menguping komunikasi Anda.
Beberapa pesan phishing yang digunakan untuk menyebarkan malware tampaknya sebagian besar menargetkan pengguna di Jerman, tetapi itu tidak berarti bahwa hanya pengguna Eropa yang berisiko. Untuk apa nilainya, kode malware mendukung pesan dalam Bahasa Jerman dan Bahasa Inggris.
Kerusakan apa yang dilakukan OSX / DOK?
OSX / Dok mengalihkan lalu lintas Anda melalui server proxy jahat, memberikan pengguna jahat akses ke semua komunikasi Anda, termasuk yang dienkripsi oleh SSL. Karena menginstal sertifikat root yang dikompromikan pada sistem, penyerang dapat menyamar sebagai situs web apa pun untuk menipu pengguna agar memberikan kata sandi mereka untuk aplikasi perbankan dan layanan online populer.
Bagaimana cara mengetahui apakah Anda terpengaruh?
Jika Anda baru saja membuka file ZIP dalam pesan email yang tidak Anda harapkan, dan sekarang melihat permintaan mencurigakan yang meminta kata sandi Mac Anda, sistem Anda mungkin telah terinfeksi OS X / DOK. Karena malware mengarahkan ulang lalu lintas jaringan Anda ke server proxy jahat, Anda harus menjelajahinya Preferensi Sistem → Jaringan.
Dari sana, pilih koneksi jaringan aktif Anda di kolom kiri (seperti Wi-Fi, Ethernet, dan sebagainya), lalu klik Maju tombol. Sekarang klik Proksi tab.
Jika Konfigurasi Proxy Otomatis telah diaktifkan di kolom kiri dan bidang di bawah tajuk File Konfigurasi Proxy menunjuk ke URL yang dimulai dengan "127.0.0.1-5555", malware sudah merutekan semua lalu lintas Anda melalui server proxy jahat.
Hapus saja entri ini untuk mencegah perutean lalu lintas.
Malware menginstal dua LaunchAgents yang akan mulai dengan boot sistem:
- / Pengguna / USERNAME ANDA / Perpustakaan / LaunchAgents / com.apple.Safari.proxy.plist
- / Pengguna / USERNAME ANDA / Perpustakaan / LaunchAgents / com.apple.Safari.pac.plist
Jika Anda menemukan file-file ini di lokasi di atas, hapus segera.
Terakhir, periksa keberadaan sertifikat paling palsu palsu bernama "COMODO RSA Extended Validation Secure Server CA 2" di bagian Sistem aplikasi Keychain Access di folder / Aplikasi / Utilitas / folder Anda.
Jika sertifikat diinstal pada Mac Anda, hapus itu.
Cara melindungi diri sendiri?
OSX / DOK adalah malware berskala besar pertama yang menargetkan pengguna Mac melalui kampanye phishing email terkoordinasi.
Titik serangan pertama bergantung pada pengguna yang membuka lampiran perusak berbahaya dalam pesan email. Jangan buka lampiran yang mencurigakan, terutama jika file yang dilampirkan bernama "Dokument.ZIP". Waspadalah terhadap pesan phishing yang memuat GIF animasi atau yang berkaitan dengan inkonsistensi dalam laporan pajak Anda.
Selalu periksa tajuk untuk mengonfirmasi validitas pengirim.
Jika file malware menemukan jalannya di sistem Anda, jangan berinteraksi dengan dan tampak mencurigakan meminta berpura-pura dialog MacOS yang valid, terutama jika mereka meminta kata sandi root Anda tanpa alasan yang jelas. Apple tidak pernah memasang pesan peringatan jika Mac Anda memerlukan pembaruan perangkat lunak. Semua pembaruan perangkat lunak macOS didistribusikan secara eksklusif melalui Mac App Store.
Jika Anda menggunakan aplikasi anti-virus, perbarui database tanda tangannya secara manual.
Pada saat penulisan ini, tidak ada vendor anti-virus yang memperbarui basis data tanda tangan mereka dengan malware DOK OS X, tetapi itu akan segera berubah. Masalah malware ini akan sepenuhnya teratasi segera setelah Apple mencabut sertifikat keamanan palsu yang telah disalahgunakan oleh pembuatnya untuk mem-bypass fitur keamanan Gatekeeper.
Sumber: Berita Peretas, CheckPoint
