Apple は、正当な(おそらくは乗っ取られた)開発者証明書を使用したマルウェア攻撃を阻止するため、証明書を取り消す措置を講じた。
チェック・ポイントは先週このマルウェアについて報告し、「OSX/Dok」を「組織的な電子メール・フィッシング・キャンペーンを通じてOSXユーザーを狙った初の大規模マルウェア」と呼んだ。
感染のすべての段階を承認した不運なユーザーは、SSL で暗号化された HTTPS セッションさえも含め、すべての通信を盗聴されてしまいます。
マルウェアのインストールプロセスには、他のすべてのウィンドウの上に開く、一見正当な「コンピュータにセキュリティ上の問題があります」というウィンドウが含まれていましたが、チェックポイントはこれをキャプチャしました。
偽のナグウェア対話
ユーザーが折れて対話を承認すると、マルウェアは管理者権限を取得し、Brewパッケージマネージャーをインストールし、TorとSOCATをインストールし、ユーザーの接続をプロキシ経由で監視します。トラフィックの傍受は、マルウェアが独自のCA証明書をインストールすることで実現されます。Comodo名を使用することで、システムキーチェーンに隠れて隠蔽されます。
Kaspersky の Threatpost によると、Apple は米国時間の日曜日に開発者証明書を取り消し、XProtect マルウェア対策ソフトウェアのアップデートもリリースした。®
