E-mail verspreidt Mac-malware ‘Dok’

Mac-malware DokDok is een nieuw malware-exemplaar dat zich richt op Mac-gebruikers. Via een aanval per e-mail probeert de malware om systemen van Mac-gebruikers te infecteren om ssl-verkeer te onderscheppen. De malware heeft een geldig ontwikkelaarscertificaat van Apple en is gesigneerd. Hierdoor werkt Dok op alle macOS-versies.

Vooral Europese slachtoffers van Mac-malware Dok

Op het moment dat de Mac-malware werd ontdekt, werd deze door nog geen enkele virusscanner op VirusTotal gedetecteerd. Dok is de eerste poging tot een grootschalige e-mailaanval op Mac-gebruikers met malware-verspreiding, aldus beveiligingsbedrijf Check Point. Aanvallers met Dok lijken zich vooral te richten op Europese gebruikers. Dit blijkt onder andere uit één van de kwaadaardige e-mails die zijn waargenomen. Deze e-mail doet zich voor als een bericht van de Zwitserse Belastingdienst.

Hoe gaat Dok te werk?

De mail die zogenaamd van de Zwitserse Belastingdienst afkomstig is, claimt dat er problemen zijn met de Belastingteruggave. Een dergelijk bericht triggert natuurlijk enorm en verleidt ontvangers om de meegestuurde bijlage te openen. Dit betreft een zip-bestand met een applicatie genaamd ‘Truesteer.AppStore’. Zodra de malware actief is verschijnt er boven alle andere vensters een boodschap. De melding geeft aan dat er een beveiligingsupdate beschikbaar is, maar hiervoor moet eerst het beheerderswachtwoord worden ingevoerd. Door hier aan gehoor te geven geeft de gebruiker de malware beheerdersrechten.

Zodra de Mac-malware beheerdersrechten heeft, worden aanvullende tools geïnstalleerd, zoals Tor en Socat. Door vervolgens de netwerkinstellingen aan te passen, loopt al het verkeer van het slachtoffer via een proxy. Door een nieuw rootcertificaat te installeren (als dat lukt) kan de aanvaller ook versleuteld verkeer van de gebruiker onderscheppen. Zo zijn bijvoorbeeld gegevens van webmail en internetbankieren te achterhalen. Als de aanval voltooid is verwijderd Dok zichzelf weer van het systeem.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *