2017/04/30

Malware Dok ao ataque no OS X


Há um novo malware que tem como alvo os computadores da Apple, e que mais uma vez se tenta aproveitar da maior vulnerabilidade de qualquer sistema: os próprios utilizadores.

Embora muitas vezes se pense que o malware só existe para Windows, a verdade é que também o OS X/macOS da Apple se vai tornando num alvo apetecível para os atacantes, como demonstra este recém-descoberto malware Dok - que tem a particularidade de, para o sistema, ser considerado uma app perfeitamente válida por contar com um certificado de developer legítimo, o que lhe permite escapar à detecção pelo Gatekeeper.

O Dok não se aproveita de nenhuma vulnerabiliade 0-day do OS X, optando por recorrer a uma táctica bem mais simples: o phishing. O vector de ataque tem sido os emails, tentado fazer com que as vítimas cliquem num link ficheiro zip em anexo, sendo a partir daí que se desencadeia o processo de infecção, primeiro com uma mensagem de erro falsa de que o ficheiro não pode ser aberto (para dar uma falsa sensação de segurança ao utilizador) e que passando alguns momentos é seguida por uma janela a dizer que é necessária uma actualização do sistema e que no processo irá pedir permissões de administrador e a respectiva password.

Se o utilizador for suficientemente ingénuo para introduzir a sua password, este Dok altera as configurações de rede de modo a redireccionar todo o tráfego através de um proxy malicioso, deixando todas as comunicações de rede em risco; e nem sequer se esquece de instalar um certificado de segurança falso.

Será garantido que a Apple rapidamente adicionará a detecção deste Dok ao seu Gatekeeper e dificultará o processo de infecção... mas mais uma vez se relembra que o maior risco para um computador acaba por ser o próprio utilizador e aquilo que aceita ou escolhe instalar!

5 comentários:

  1. O certificado utilizado pelo programador já foi revogado e o Gatekeeper já não deixa executar a aplicação. O XProtect também já foi actualizado com 2 entradas para OSX.Dok.A e OSX.Dok.B

    ResponderEliminar
  2. Por norma um mail de phishing faz-se passar por enviado de uma entidade credível com quem se tem relações: Apple e Google (no caso do acesso às contas das celebridades nuas), do banco, etc.
    O caso do post conhecido é um mail, em alemão, "proveniente" do fisco suíço. A prosa está impecável, +/- isto: "O meu nome é (...) sou o liquidador de impostos do seu distrito. Surgiram algumas dúvidas sobre o reembolso do seu imposto. No documento está a lista das questões e o meu número de telefone". Termina com um "logo" do Estado suíço e o aviso habitual dos mails de entidades públicas "se recebeu este mail por engano, etc".
    Quando se vai abrir o ficheiro, depois de descomprimido o .zip, o MacOS avisa: Document é uma aplicação descarregada da Internet. Está seguro de que a quer abrir?"
    Uma aplicação disfarçada de documento faz soar as campainhas de alarme de quem esteja minimamente informado, mas há sempre quem não esteja.
    Resumindo: cuidado com os ataques de phishing (mails suspeitos - o problema é quando vêm muito bem escritos como é o caso deste - quem é que não quer saber o número de telefone do gajo do fisco para lhe ligar e esclarecer o assunto?) e não instalar aplicações desconhecidas.
    Quanto ao certificado de autenticidade do criador da aplicação, que a Apple entretanto já revogou, não é o primeiro caso nem será certamente o último. Que este malware tem um grau de sofisticação elevado face aos casos anteriores conhecidos - é um facto que há que reconhecer.
    Este, envolve o desvio do tráfego da internet e o ataque man-in-the-middle. Embora continue a precisar da participação do utilizador, não é a habitual tentativa de instalação de adware.
    https://blog.malwarebytes.com/threat-analysis/2017/04/new-osx-dok-malware-intercepts-web-traffic/

    ResponderEliminar
  3. Com um utilizador com trissomia 21 talvez dê para infectar.. e mesmo assim não será fácil.

    ResponderEliminar
    Respostas
    1. Não concordo.
      O mail de phishing está extremamente bem elaborado - as pessoas desesperam para conseguir contacto com quem possa esclarecer um assunto. Prometer que o número de telefone do suposto agente do fisco está no documento e que se lhe pode telefonar para esclarecer é irresistível -procura-se abrir o documento, que afinal não é documento é uma aplicação, mas o isco já foi mordido, há quem não dê por isso.

      O mail da Nigéria - "Tenho uma grande fortuna na Nigéria mas preciso do seu modesto contributo para resolver questões legais para lhe ter acesso", ou muito mal escrito e que se vê logo que resulta de tradução automática - já era. É preciso ter em atenção que o mail pode ser sofisticado.
      E é preciso que entidades como os bancos, o fisco e outros façam advertências para o uso indevido de mails em seu nome e esclareçam o que pedem e o que não pedem.

      P.S. Não conheço muitas, mas conheço algumas pessoas com o síndroma de Down. Não são desconfiados, são ingénuos puros. Provavelmente cairiam neste esquema de phishing porque não vêm maldade em nada. Mas convém ter sempre presente que qualquer um pode ser levado ao engano - os mais convencidos de que ninguém os engana provavelmente são os mais fáceis de enganar. O que é preciso é encontrar-lhes o ponto fraco.

      Eliminar
    2. ... veem (de ver, em vez de vêm, de vir). Ver é com dois olhos (ee)

      Eliminar