Mac-malware OSX/Dok kan zelfs je beveiligde internetverkeer aftappen
Onderzoekers van CheckPoint hebben de malware OSX/Dok ontdekt, dat gebruik maakt van phishing. OSX/Dok is gevaarlijk omdat het nog niet ontdekt wordt door Apple’s GateKeeper, die dergelijke aanvallen normaalgesproken moet tegenhouden.
OSX/Dok is serieuze malware
Malware voor macOS groeide vorig jaar met een indrukwekkend percentage van 744%. In de meeste gevallen gaat het om adware, maar bij OSX/Dok is het toch iets ernstiger. Deze malware kan je internetgebruik begluren, ook als je beveiligde websites bezoekt. Gebruikers die erin zijn getrapt kunnen niets meer op hun Mac doen, totdat ze een neppe update van OS X installeren (zie hieronder).
Bij OSX/Dok krijgen de slachtoffers een mailtje van iemand, die beweert bij de lokale Belastingdienst te werken. Het gaat over de inkomstenbelasting, met de vraag of ze even op de meegestuurde zip willen klikken. Uiteraard is dat al verdacht. Verstandige mensen die niet op dit soort bijlagen klikken hoeven dan ook niet bang te zijn dat ze besmet worden.
Telkens actief als je de app herstart
De malware installeert zich na het klikken als een inlog-item voor de App Store, waardoor het telkens actief wordt als de Mac opnieuw wordt gestart. Er verschijnt na verloop van tijd update-venster voor macOS, dat uiteraard nep is. Op dat moment kun je niets meer doen totdat je de malware installeert. OSX/Dok krijgt dan admin-rechten op de computer, wijzigt de netwerkinstellingen zodat al het uitgaande verkeer langs een proxy worden geleid. Alles wat je op internet doet, ook het bezoeken van beveiligde verbindingen (https) zal langs de computer van de booswichten gaan. De malware installeert een geprepareerd beveiligingscertificaat dat ervoor zorgt dat de aanvaller zich kan voordoen als elke gewenste website, zonder dat het opvalt.
Alle internetverkeer wordt via de aanvaller geleid en is uit te lezen. De software is gemaakt met een geldig ontwikkelaarscertificaat. Dit is ook de reden waarom GateKeeper het niet detecteert. Apple kan het probleem gemakkelijk oplossen door het certificaat in te trekken, maar dat is slechts een tijdelijke maatregel – totdat de aanvallers weer een nieuw certificaat hebben geregeld.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- macOS Sequoia 15.2 beta 4 en publieke beta 3 nu te testen (20-11)
- Apple's reparatieprogramma voor MacBook vlindertoetsenborden nu officieel gestopt (20-11)
- Gerucht: 'Nieuw Apple Pro Display XDR krijgt verbeterd scherm dankzij quantum-dot-techniek' (20-11)
- Apple lost in macOS Sequoia 15.1.1 belangrijke beveiligingsproblemen op (19-11)
- Verrassend: MacBook Pro M4 heeft een quantum dot-display (16-11)
Reacties: 6 reacties