网络安全公司SentinelOne于近日发文称,他们在本月9日发现Mac恶意软件OSX.Dok的一个新变种在2018年12月25日12点48分签署了一个有效的开发者ID。在通过非官方渠道通知了苹果公司之后,这个签名在随后被吊销。
根据SentinelOne研究人员的说法,这个新的OSX.Dok变种是通过一款名为“DHL Dokument.dmg”或“Strichkode DHL Express.dmg”的DMG package(一款应用程序安装包制作工具)传播的,并使用了捆绑标识符“Swisscom.Application”。这里需要说明的是,DHL是一家德国邮政服务和国际快递公司。
SentinelOne的研究人员在分析文章中指出,这个新的OSX.Dok变种延用了早期变种所使用的技巧来伪装应用程序安装包——使用一个虚假的Adobe PDF文件图标。但是,出现在图标底部的“Dokument.app”还是揭露了它的本质。
双击Dokument.app,会启动各种任务,并导致一系列的应用程序在后台完成安装。对于受害者而言,只会在桌面看到一个铺满全屏的虚假的“App Store”更新初始化界面。此外,该应用程序还会禁用键盘,这导致受害者用户无法取消或强制退出这个界面视图。
在安装的应用程序中,包括一个隐藏版本的Tor暗网搜索引擎,以及几个支持秘密通信的工具:socat、filan和procan。其中,soca允许恶意软件监听端口5555和5588,直到连接进入。该连接本身是来自本地主机的流量,由恶意软件安装的autoproxy重定向到端口5555。
恶意软件会将多个Apple域名写入本地主机文件,以便与这些域名的连接重定向到127[.]0[.]0[.]1。一旦恶意软件开始捕获受害者的流量,它就会连接到暗网上的服务器ltro3fxssy7xsqgz[.]onion并开始上传窃取的数据。
与早期变种一样,这个新的OSX.Dok变种也会在Keychain(密钥链)中安装一个受信任的证书,用于对用户实施中间人(MiTM)攻击,拦截用户流量。