קוד זדוני חדש למחשבי אפל מאפשר ניטור תקשורת מוצפנת
עמי רוחקס דומבה
| 30/04/2017
http://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/
אנשים מניחים לעתים קרובות שאם אתה מפעיל OSX, אתה בטוח יחסית מפני תוכנות זדוניות. אבל זה הופך להיות פחות ופחות נכון, כפי שמעיד זן חדש של תוכנות זדוניות בו נתקל צוות המחקר של צ'ק פוינט.
תוכנות זדוניות חדשות אלו תחת השם - dubbed OSX / Dok - משפיעות על כל הגירסאות של OSX, כאשר בזמן הגילוי, אף כלי הגנה ב-VirusTotal לא גילה אותו. הקובץ חתום עם אישור מפתח חוקי (מאומת על ידי אפל), והוא הראשון בקנה מידה גדול הממוקד במשתמשי OSX באמצעות קמפיין דיוג מתואם של דוא"ל.
לאחר ההדבקה של OSX / Dok, התוקפים מקבלים גישה מלאה לכל התקשורת של הקורבן, כולל תקשורת מוצפנת על ידי SSL. זה נעשה על ידי הפניית התנועה הקורבן דרך שרת proxy זדוניים.
היישום הזדוני מייצר חלון על גבי כל חלונות אחרים. חלון חדש זה מכיל הודעה, בטענה כי זוהתה בעיית אבטחה במערכת ההפעלה, כי עדכון זמין, וכי כדי להמשיך עם העדכון, המשתמש צריך להזין סיסמה. התוכנה הזדונית בודקת את הלוקליזציה של המערכת, ותומכת בהודעות בגרמנית ובאנגלית.
הקורבן לא יכול להשתמש במחשב עד שהוא לא מכניס סיסמא ומאפשר את התקנת התוכנה הזדונית. ברגע שהיא מותקנת, התוכנה הזדונית מקבלת הרשאות מנהל על מכונת הקורבן.
באמצעות הרשאות אלו התוכנה מורידה כלים נוספים למחשב הקורבן. כולל כלי המאפשר הקמת פרוקסי ברשת האפלה. בצורה כזו, התוקף יכול לנטר את כל התקשורת של הקורבן, כולל תקשורת מוצפנת. בסיום התקיפה, הכלי הזדוני מוחק את עצמו ממחשב הקורבן.
מקור: checkpoint
אנשים מניחים לעתים קרובות שאם אתה מפעיל OSX, אתה בטוח יחסית מפני תוכנות זדוניות. אבל זה הופך להיות פחות ופחות נכון, כפי שמעיד זן חדש של תוכנות זדוניות בו נתקל צוות המחקר של צ'ק פוינט.
תוכנות זדוניות חדשות אלו תחת השם - dubbed OSX / Dok - משפיעות על כל הגירסאות של OSX, כאשר בזמן הגילוי, אף כלי הגנה ב-VirusTotal לא גילה אותו. הקובץ חתום עם אישור מפתח חוקי (מאומת על ידי אפל), והוא הראשון בקנה מידה גדול הממוקד במשתמשי OSX באמצעות קמפיין דיוג מתואם של דוא"ל.
לאחר ההדבקה של OSX / Dok, התוקפים מקבלים גישה מלאה לכל התקשורת של הקורבן, כולל תקשורת מוצפנת על ידי SSL. זה נעשה על ידי הפניית התנועה הקורבן דרך שרת proxy זדוניים.
היישום הזדוני מייצר חלון על גבי כל חלונות אחרים. חלון חדש זה מכיל הודעה, בטענה כי זוהתה בעיית אבטחה במערכת ההפעלה, כי עדכון זמין, וכי כדי להמשיך עם העדכון, המשתמש צריך להזין סיסמה. התוכנה הזדונית בודקת את הלוקליזציה של המערכת, ותומכת בהודעות בגרמנית ובאנגלית.
הקורבן לא יכול להשתמש במחשב עד שהוא לא מכניס סיסמא ומאפשר את התקנת התוכנה הזדונית. ברגע שהיא מותקנת, התוכנה הזדונית מקבלת הרשאות מנהל על מכונת הקורבן.
באמצעות הרשאות אלו התוכנה מורידה כלים נוספים למחשב הקורבן. כולל כלי המאפשר הקמת פרוקסי ברשת האפלה. בצורה כזו, התוקף יכול לנטר את כל התקשורת של הקורבן, כולל תקשורת מוצפנת. בסיום התקיפה, הכלי הזדוני מוחק את עצמו ממחשב הקורבן.
מקור: checkpoint
