Эксперты сообщают об обнаружении новой разновидности малвари для Mac, сообщает издание Xakep. Вредонос с помощью всплывающих окон получает привилегии администратора, шифрует трафик с помощью Tor и использует фальшивые сертификаты для перехвата браузерного трафика.
Вредонос, получивший название Dok, сейчас атакует в основном европейских пользователей, попадая на устройства жертв через спамерские письма.
Письмо содержит вложение Dokument.zip, при распаковке которого открывается приложение Truesteer.AppStore. При запуске приложения вирус проникает в систему, копируя себя, а затем удаляет оригинал. Вирус использует сертификат Apple, тем самым обманывая фильтры.
Далее все идет по типичному сценарию. Dok выводит на экран окно, где сообщается об ошибке в работе ОС, поэтому нужно скачать обновление, введя свой пароль.
Когда пользователь вводит данные, Dok скачивает и устанавливает на машину клиент Tor, SOCAT и менеджер пакетов Brew. Используя полученные привилегии, вредонос изменяет сетевые настройки системы, скачивает с сервера злоумышленников файл настроек PAC (Proxy AutoConfiguration) и перенаправляет весь исходящий трафик жертвы на прокси.
Также вредонос устанавливает в ОС новый корневой сертификат. В результате весь трафик жертвы может быть легко перехвачен.
Кроме этого, авторы Dok могут внедрять собственный контент в веб-страницы и даже заменять их полностью.