Hopp til navigasjon Hopp til innhold
OSX.Dok-skadevaren gir deg et vindu på tppen av alle andre som sier at du har systemoppdatering tilgjengelig, men skriver du inn passordet gir du skadevaren administratortilgang. (Ill.: Faksimilie/Cult of Mac)

Denne Mac-skadevaren gir seg ut for å være systemoppdatering

Blir ikke oppdaget av Apple eller antivirus.

Etter hvert som flere bruker macOS, kommer det også mer skadevare – og denne siste, som har fått navnet OSX.Dok, forbigår både antivirus og macOS sin «Gatekeeper»-funksjon som hindrer usertifiserte apper fra å kjøre.

Har gyldig sertifikat
Dette skjer fordi appen skadevaren kommer i er signert med et gyldig utviklersertifikat fra Apple, som gjør at macOS ikke identifiserer den som en trussel, og dermed blir den ikke blokkert.

Skadevaren installeres gjennom en «koordinert phishing-kampanje» i Europa som oppfordrer brukerne til å laste ned en fil kalt «Dokument.zip,» og når du åpner den, kopierer skadevaren seg til den delte mappen og kjører automatisk derfra.

Så lager den et påloggingsprogram som kjører automatisk når Macen starter opp, og kjører hver gang inntil den er installert.

Legger seg på toppen av alle vinduer
Deretter viser programmet et vindu som ligger på toppen av alle vinduene, som hevder at det er er et sikkerhetsproblem på maskinen, men at en oppdatering er tilgjengelig. For å installere oppdateringen må man imidlertid skrive inn passordet.

Når dette vinduet er aktivt, kan du ikke gjøre noe med Macen før du godkjenner å installere den falske oppdateringen, og når du skriver inn passordet ditt, gir du skadevaren administratortilgang til maskinen din – som starter den neste fasen i angrepet.

Leser all nett-trafikken din
Dette er å laste ned flere verktøy som blant annet kjører all nettverkstrafikken din gjennom en proxy som ligger på det «mørke nettet» og som samler og lagrer all nett-trafikken din.

Når angriperne så har samlet inn informasjonen de ønsker, blir skadevaren slettet fra den infiserte maskinen, og brukeren har ikke peiling på hva som har skjedd i bakgrunnen før det er for sent.

Blir ikke detektert, men Malwarebytes kan hjelpe – litt
Det finnes for øyeblikket ingen antivirus-produsenter som identifiserer dette angrepet, men Malwarebytes for Mac kan oppdage og fjerne «de viktige komponentene» i skadevaren og fjerne disse.

Når det kommer andre endringer som ikke er like enkle å fjerne, må man inn i Terminal – og Malwarebytes anbefaler enten at du tar kontakt med en ekspert eller at du sletter harddisken og gjenoppretter systemet.

Kilder
Cult of Mac
Malwarebytes

Stikkord: Apple, macos, sikkerhet