CheckPointのマルウェア研究チームが、Macを標的とするマルウェアの新種を発見しました。この悪質な新種は、Macオペレーティングシステムの全バージョンに影響を及ぼし、HTTPSトラフィックを傍受します。
MacRumorsによると、このマルウェアは「DOK」と名付けられ、特にmacOSユーザーを狙ったメールフィッシングキャンペーンを通じて拡散されており、研究者らはこのような事例は初めてだと述べている。
このマルウェアは、管理者権限を取得してユーザーのシステムに新しいルート証明書をインストールすることで動作します。これにより、ホストMacとインターネット間のすべての通信(SSLで暗号化された接続を経由するトラフィックを含む)にアクセスできるようになります。
最初のメールは、受信者の納税申告に関する問題を通知する内容で、添付ファイルの圧縮ファイルをダウンロードするよう要求しています。この圧縮ファイルにはマルウェアが隠されています。macOSに組み込まれているGatekeeperセキュリティ機能は、マルウェアの有効な開発者証明書を使用しているため、この脅威を無視すると言われています。マルウェアは自身を「/Users/Shared/」フォルダにコピーし、ログイン項目を作成して、システムが再起動されても自身を永続化させます。
マルウェアはユーザーに「セキュリティメッセージ」を表示し、システムのアップデートが利用可能であると主張し、パスワードの入力を求めます。その後、Macマルウェアはパスワードを使用して完全な管理者権限を取得し、ネットワーク設定を変更してすべての送信接続をプロキシ経由にします。さらに、すべてのインターネットトラフィックに対して中間者攻撃を実行できる追加ツールもインストールします。
研究者らは、DOKマルウェアはMacのウイルス対策プログラムではまだ検出されていないと述べ、アプリの作者に関連付けられた開発者証明書を直ちに取り消すようAppleに勧告している。
