Macのネットワーク設定を変更し、さらにインターネットバンキングやモバイルデバイスを狙う「OSX/Dok」の亜種が確認される。

　Macのネットワーク設定を変更し、さらにインターネットバンキングやモバイルデバイスを狙う「OSX/Dok」の亜種が確認されているそうです。詳細は以下から。

　イスラエルのセキュリティ企業Check Pointによると、Macのネットワーク設定を変更し中間者攻撃やネットワークトラフィックを盗み出すマルウェア「OSX/Dok」の亜種が、今度はMacを介してモバイルデバイスを狙う様になっているそうです。

Following up on our recent discovery of the new OSX/Dok malware targeting macOS users, we’d like to report that the malicious actors behind it are not giving up yet.

OSX/Dok Refuses to Go Away and It’s After Your Money – Check Point Blog

　Check PointのCaspiさんによると、新しいOSX/DokはmacOSのセキュリティアップデートの設定を変更し、”/private/etc/hosts”にVirusTotalやAppleのCDNのドメインを追加し、Macのアップデートなどを遮断。

クリックで拡大

　その後、他のOSX/Dokと同じようにTORをインストールし、C&Cサーバーとの通信を始めるそうですが、新しいOSX/Dokはさらにセキュリティ上の理由からモバイルアプリをインストールするように促すそうです。

We were surprised to discover that at this point of time the attackers use this process to install “Signal”, a legitimate messenger application. Remember this could change at any moment if the hackers decide they want to target the victim’s mobile device as well and install a mobile malware.

OSX/Dok Refuses to Go Away and It’s After Your Money – Check Point Blog

　新しいOSX/Dokはヨーロッパ(ドイツ)の銀行やユーザーをターゲットとし、現在のところモバイルアプリは暗号チャットアプリ「Signal」のapkをインストールすように促しているそうですが、この設定はいつでも変更可能なため、悪意のある攻撃者がモバイルデバイスにマルウェアをインストールさせる可能性も出てきているようです。

Gatekeeper

　OSX/Dokの亜種には新しく購入されたAppleの開発者証明書が付いていたためCheck Pointは既にOSX/Dokの亜種をAppleに報告したそうで、この亜種への対応かは定かではありませんがAppleも7月に入り2度Gatekeeperのデータベースをアップデートしているので、ユーザーの方はチェックしてみて下さい。

In the last few weeks, we’ve seen a surge in the OSX/Dok samples, as the attackers are purchasing dozens of Apple certificates to sign on the application bundle and bypass GateKeeper (see details below). Apple is constantly revoking the compromised certificates as we’re informing them of the ones we identify, however new ones appear on a daily basis.

OSX/Dok Refuses to Go Away and It’s After Your Money – Check Point Blog

• Gatekeeperのバージョン

defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString

Gatekeeperのアップデート履歴 (2017)

• 2017年01月25日 : Gatekeeper Configuration Data v108
• 2017年03月23日 : Gatekeeper Configuration Data v109
• 2017年03月29日 : Gatekeeper Configuration Data v110
• 2017年05月12日 : Gatekeeper Configuration Data v111
• 2017年06月03日 : Gatekeeper Configuration Data v112
• 2017年06月20日 : Gatekeeper Configuration Data v113
• 2017年06月30日 : Gatekeeper Configuration Data v115
• 2017年07月08日 : Gatekeeper Configuration Data v117
• 2017年07月14日 : Gatekeeper Configuration Data v118

• OSX/Dok Refuses to Go Away and It’s After Your Money – Check Point Blog