Mac-malware OSX/Dok kan zelfs je beveiligde internetverkeer aftappen
· Laatst bijgewerkt:
Onderzoekers van CheckPoint hebben de malware OSX/Dok ontdekt, dat gebruik maakt van phishing. OSX/Dok is gevaarlijk omdat het nog niet ontdekt wordt door Apple’s GateKeeper, die dergelijke aanvallen normaalgesproken moet tegenhouden.
OSX/Dok is serieuze malware
Malware voor macOS groeide vorig jaar met een indrukwekkend percentage van 744%. In de meeste gevallen gaat het om adware, maar bij OSX/Dok is het toch iets ernstiger. Deze malware kan je internetgebruik begluren, ook als je beveiligde websites bezoekt. Gebruikers die erin zijn getrapt kunnen niets meer op hun Mac doen, totdat ze een neppe update van OS X installeren (zie hieronder).
Bij OSX/Dok krijgen de slachtoffers een mailtje van iemand, die beweert bij de lokale Belastingdienst te werken. Het gaat over de inkomstenbelasting, met de vraag of ze even op de meegestuurde zip willen klikken. Uiteraard is dat al verdacht. Verstandige mensen die niet op dit soort bijlagen klikken hoeven dan ook niet bang te zijn dat ze besmet worden.
Telkens actief als je de app herstart
De malware installeert zich na het klikken als een inlog-item voor de App Store, waardoor het telkens actief wordt als de Mac opnieuw wordt gestart. Er verschijnt na verloop van tijd update-venster voor macOS, dat uiteraard nep is. Op dat moment kun je niets meer doen totdat je de malware installeert. OSX/Dok krijgt dan admin-rechten op de computer, wijzigt de netwerkinstellingen zodat al het uitgaande verkeer langs een proxy worden geleid. Alles wat je op internet doet, ook het bezoeken van beveiligde verbindingen (https) zal langs de computer van de booswichten gaan. De malware installeert een geprepareerd beveiligingscertificaat dat ervoor zorgt dat de aanvaller zich kan voordoen als elke gewenste website, zonder dat het opvalt.
Alle internetverkeer wordt via de aanvaller geleid en is uit te lezen. De software is gemaakt met een geldig ontwikkelaarscertificaat. Dit is ook de reden waarom GateKeeper het niet detecteert. Apple kan het probleem gemakkelijk oplossen door het certificaat in te trekken, maar dat is slechts een tijdelijke maatregel – totdat de aanvallers weer een nieuw certificaat hebben geregeld.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Apple brengt vierde beta van macOS Sequoia 15.5 voor ontwikkelaars uit (en derde voor tester) (28-04)
- Apple zet automatische updates vanzelf aan in iOS 18.4 en macOS Sequoia 15.4 (03-04)
- Apple brengt macOS Sequoia 15.4 uit: dit is er nieuw op je Mac (31-03)
- Apple ontwikkelt MacBook Pro met M5-chip: wordt later dit jaar nog verwacht (31-03)
- Vooruitblik: dit zijn onze 10 verwachtingen van de WWDC 2025 (26-03)
Ik heb vandaag de F-Secure XFENCE beta geïnstalleerd; die zou dat moeten kunnen onderscheppen……
Als ik de stappen zie die je als gebruiker moet doen voordat de software echt malware is op je PC. Dan moet je toch echt wel redelijk ‘blond’ zijn.
Mailtje van de belastingdienst met attachment is al een knal rode flag.
Geen av nodig maar gezond verstand.
Apple hoeft alleen het certificaat ongeldig te maken, dan houdt Gatekeeper deze malware tegen. Gewoon het systeem actueel houden en de komende uren/dagen even beter opletten. Dat je emails moet wantrouwen is sowieso al goed advies, al helemaal als deze bijlagen bevatten.
Niks aan de hand. 🙂
(Red.) Deze reactie is door een moderator verwijderd omdat deze niet aan onze reactierichtlijnen voldoet. Antwoorden op deze reactie zijn mogelijk ook verwijderd.
Inmiddels heeft Apple het certificaat ongeldig verklaard en zal Gatekeeper deze malware vanaf nu tegenhouden (bron).
Handig, zo’n linkje naar de reactierichtlijnen. Zo zie je nog ’s wat:
Jammer alleen dat sommige moderatoren hun eigen richtlijnen niet (her)kennen, zelfs niet als ze daar nadrukkelijk op worden gewezen 😢