หลังจากอาทิตย์ที่ผ่านมา ทาง Checkpoint ได้มีการออกเอกสารการค้นพบ malware ที่ชื่อว่า OSX/Dok ซึ่งมีการใช้งาน certificate developer ของทาง Apple อย่างถูกต้อง เป็นปัจจัยหนึ่งที่ทำให้ Antivirus ตรวจจับ malware ตัวนี้ไม่พบ ล่าสุดทาง Apple ได้ยกเลิก (Revoke) certificate นั้นๆแล้ว
Apple ได้ยกเลิก certificate ที่ถูกนำไปใช้ signed ให้กับ malware ดังกล่าวแล้ว โดยกระทำผ่านการ update XProtect ซึ่งเป็น antimalware software เพื่อหยุดการแพร่กระจายของ malware Dok ทั้งในเครื่องที่พบอยู่แล้วและเครื่องที่กำลังจะเจอ
Malware ดังกล่าวเมื่อติดตั้งได้สำเร็จแล้ว จะหลอกล่อ user ให้ทำการกรอกรหัสผ่านผ่าน popup แจ้งเตือนปลอม จากนั้นจะใช้สิทธิ์ administrator ในการติดตั้ง brew เพื่อติดตั้ง package อื่นๆเพิ่มเติม ทั้ง TOR และ SOCAT จากนั้นจะกำหนดให้ traffic ของ User ผ่าน Proxy ของ Hacker อีกทั้งยังมีการติดตั้ง root certificate เพื่อให้สามารถกระทำการ man-in-the-middle บนเครื่องเหยื่อได้ ทำให้สามารถ Hacker สามารถดู traffic ได้ทั้งหมด ไม่ว่าจะเข้ารหัสหรือไม่เข้ารหัสก็ตาม
ที่มา: threatpost
You must be logged in to post a comment.