Malware op de Mac

Mac-malware OSX/Dok kan zelfs je beveiligde internetverkeer aftappen

Malware met de naam OSX/Dok probeert je een nep-update van macOS aan te smeren. De malware wordt niet ontdekt door Apple's GateKeeper.
Gonny van der Zwaag - · Laatst bijgewerkt:

Onderzoekers van CheckPoint hebben de malware OSX/Dok ontdekt, dat gebruik maakt van phishing. OSX/Dok is gevaarlijk omdat het nog niet ontdekt wordt door Apple’s GateKeeper, die dergelijke aanvallen normaalgesproken moet tegenhouden.

Malware op de Mac

OSX/Dok is serieuze malware

Malware voor macOS groeide vorig jaar met een indrukwekkend percentage van 744%. In de meeste gevallen gaat het om adware, maar bij OSX/Dok is het toch iets ernstiger. Deze malware kan je internetgebruik begluren, ook als je beveiligde websites bezoekt. Gebruikers die erin zijn getrapt kunnen niets meer op hun Mac doen, totdat ze een neppe update van OS X installeren (zie hieronder).

OSX/Dok malware

Bij OSX/Dok krijgen de slachtoffers een mailtje van iemand, die beweert bij de lokale Belastingdienst te werken. Het gaat over de inkomstenbelasting, met de vraag of ze even op de meegestuurde zip willen klikken. Uiteraard is dat al verdacht. Verstandige mensen die niet op dit soort bijlagen klikken hoeven dan ook niet bang te zijn dat ze besmet worden.

Telkens actief als je de app herstart
De malware installeert zich na het klikken als een inlog-item voor de App Store, waardoor het telkens actief wordt als de Mac opnieuw wordt gestart. Er verschijnt na verloop van tijd update-venster voor macOS, dat uiteraard nep is. Op dat moment kun je niets meer doen totdat je de malware installeert. OSX/Dok krijgt dan admin-rechten op de computer, wijzigt de netwerkinstellingen zodat al het uitgaande verkeer langs een proxy worden geleid. Alles wat je op internet doet, ook het bezoeken van beveiligde verbindingen (https) zal langs de computer van de booswichten gaan. De malware installeert een geprepareerd beveiligingscertificaat dat ervoor zorgt dat de aanvaller zich kan voordoen als elke gewenste website, zonder dat het opvalt.

Alle internetverkeer wordt via de aanvaller geleid en is uit te lezen. De software is gemaakt met een geldig ontwikkelaarscertificaat. Dit is ook de reden waarom GateKeeper het niet detecteert. Apple kan het probleem gemakkelijk oplossen door het certificaat in te trekken, maar dat is slechts een tijdelijke maatregel – totdat de aanvallers weer een nieuw certificaat hebben geregeld.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 28 april 2017, 17:08
Categorie Mac & macOS
Onderwerp malware

Reacties zijn gesloten voor dit artikel.