หลายคนมักเจอคนขาย Mac ชอบพูดว่า MacOS ไม่มี Malware ไม่ต้องกลัว ซึ่งแน่นอนว่ามันไม่จริง ข่าวนี้เป็นอีกครั้งการยืนยันว่า Malware ใน MacOS นั้นมีอยู่จริง แถมเป็น malware ที่มีฤทธิ์ค่อนข้างร้ายกาจอีกด้วย

Checkpoint พบ Malware ใน MacOS ที่ชื่อว่า OSX/Dok โดย malware ตัวนี้สามารถทำงานได้บน MacOS ทุกๆ version จากการตรวจสอบโดยการ upload ขึ้น Virustotal ซึ่งเป็นเว็บไซด์สำหรับการตรวจสอบการตรวจจับไฟล์ malware ด้วย antivirus ต่างๆ พบว่าไม่มี Antivirus ใดๆใน Virustotal สามารถตรวจจับได้ว่า OSX/Dok เป็น malware ซักยี่ห้อ

OSX/Dok ถูก signed โดย certificate ของ Developer ชื่อว่า “Seven Muller” ที่ลงทะเบียนถูกต้องกับ Apple และการแพร่กระจายของ malware ตัวนี้จะกระทำผ่านการส่ง spam email ซึ่งใช้ชื่อไฟล์ bundle ว่า “Truesteer.AppStore” เมื่อ OSX/Dok ติดตั้ง Hacker จะสามารถเข้าถึง traffic ทั้งหมดที่เครื่องกระทำ รวมถึง SSL connection ด้วย

โดยเมื่อมันรันจะทำการ copy ตัวเองไปที่  /Users/Shared/ จากนั้นจะรันคำสั่งตามด้านล่าง

จากนั้นจะแสดง pop up บอกว่า package เสียและไม่สามารถใช้งานได้ ถ้ามี “AppStore” ใน Login Items List มันจะลบทิ้ง แล้วสร้าง login item ใหม่เข้าไปโดยใช้ชื่อเดียวกันซึ่งจะทำให้มันรันทุกครั้งที่เครื่อง reboot

Malware จะสร้าง popup บอกเกี่ยวกับเรื่อง security issue ของ MacOS ว่าต้อง update จากนั้นจะมีการถาม password อีกที โดย popup ดังกล่าวจะสร้างโดยการดูจาก system localization โดย support ทั้งภาษา German และ English

จากนั้น malware จะใช้สิทธิ์ administrator ในการติดตั้ง brew เพื่อติดตั้ง package อื่นๆเพิ่มเติม ทั้ง TOR และ SOCAT  จากนั้นจะกำหนดให้ traffic ของ User ผ่าน Proxy ของ Hacker อีกทั้งยังมีการติดตั้ง root certificate เพื่อให้สามารถกระทำการ man-in-the-middle บนเครื่องเหยื่อได้ ทำให้สามารถ Hacker สามารถดู traffic ได้ทั้งหมด ไม่ว่าจะเข้ารหัสหรือไม่เข้ารหัสก็ตาม

Source:: Checkpoint