OSX/Dok, un nouveau malware qui dupe Gatekeeper

Nicolas Furno |

L’époque où le système d’Apple était bien protégé des malwares est bien terminée. Malgré les protections mises en place par le constructeur, les créateurs de logiciels malveillants parviennent toujours à passer, comme en témoigne ce nouveau-venu. Nommé OSX/Dok, il parvient à contourner Gatekeeper, la principale protection de macOS, parce qu’il est signé avec un certificat fourni par Apple. Par ailleurs, il n’est pas détecté correctement par les antivirus.

Ce malware reproduit de manière approximative une alerte macOS. Ce n’est pas exactement fidèle, mais suffisamment pour tromper une bonne partie des utilisateurs. Cliquer pour agrandir

Naturellement, Apple comme les éditeurs d’antivirus vont tout faire pour bloquer ce malware précis, mais c’est bien la preuve que les protections mises en place par macOS ne suffisent jamais totalement. OSX/Dok est transmis par mail et vise les utilisateurs européens, notamment les anglophones et germanophones.

Concrètement, il prend la forme d’un fichier zip qui est en fait une application qui commence par s’installer à un endroit difficile à déloger. Elle s’ajoute aux applications ouvertes au lancement du système pour toujours être présente et une fois que c’est fait, elle affiche une alerte qui occupe tout l’écran (ci-dessus). Cette alerte recouvre les autres fenêtres et elle ne peut pas être fermée facilement, en tout cas pas sans cliquer sur son unique bouton.

C’est en cliquant sur le bouton qu’il devient vraiment malveillant, tout en restant suffisamment discret pour que l’utilisateur lambda ne voit rien du tout. Il installe le gestionnaire de paquets Homebrew et exécute un script qui installe les outils nécessaires pour mettre en place un proxy. Pour faire simple, le Mac va être configuré pour que toutes les connexions à internet passent par un serveur tiers, y compris celles qui sont sécurisées.

Après avoir agi, le malware a configuré un proxy dans macOS. Dès lors, toutes les connexions transiteront par un serveur tiers. Cliquer pour agrandir

OSX/Dok configure également le système pour assurer que cette connexion via un serveur tiers soit maintenue entre deux redémarrages ou même après une mise à jour de macOS. Et pour cacher ses traces, il se désinstalle de lui-même.

En attendant qu’Apple bloque le certificat en question, les conseils sont toujours les mêmes. N’ouvrez pas un fichier dont vous ne connaissez pas la source. Et surtout, ne saisissez pas le mot de passe administrateur de votre Mac sans savoir exactement pour quoi faire.

avatar MisteriousGaga | 

Wow...
D'ailleurs ce serait intéressant que vous fassiez un comparatif des 3-4 meilleurs antivirus de 2017 (gratuits compris hehe) !
J'avoue chercher et tester plusieurs solutions mais j'ai du mal à faire mon choix...

D'ailleurs quelqu'un sait si Avast est véritablement Le meilleur antivirus gratuit ? ^^

avatar stefhan | 

C'est une question sérieuse ?
Car sinon la réponse est : aucun et vigilance absolue.

avatar vache folle | 

@stefhan

Sauf quand votre mac est branché à un réseau Windows, ça permet quand même de scanner les fichiers reçus avant de les balancer sur le serveur.

C'est pour ce cas de figure que j'ai installé Avast.

avatar Avenger | 

@ stefhan

Continuer à dire qu'un antivirus n'est pas nécessaire, sur Mac, c'est manquer terriblement de nuances!

Même si les virus sont très très rares, ils n'en sont pas moins réels! Et pour de nombreux utilisateurs qui ne maitrisent pas leur Mac, avoir un anti-virus est un gage d'une plus grande sérénité. Et cela permet également d'éviter de transmettre beaucoup de virus à ses correspondants sous Windows.

avatar Totorum | 

@MisteriousGaga

J'ai lu ça et là que les antivirus dispos sur macOs sont relativement peu efficaces, mais surtout qu'ils nécessitent pas mal de ressources pour tourner... Je peux te recommander Malwrebytes for Mac, qui n'est pas un antivirus mais capable de faire des scans quand vous le souhaitez pour retirer les menaces déjà présentes sur votre ordinateur. Voilà voilà :)

avatar marc_os | 

@ Totorum
Sauf que Malwrebytes ne détecte pas par exemple les extensions Safari foireuses (Adwares) si elles ne sont pas encore instalées ! Donc en matière de prévention, ce truc est très limité.
Pour des scans, il y a d'autre antivirus qu'on peut utiliser en mode démo si un jour on a comme un doute ou même si c'est trop tart et qu'on s'est chopé un adware parce qu'on aura fait confiance à un site tiers de pub à logiciels et qu'on en a installé un sans aller voir sur le site officiel de l'éditeur.

avatar Fumomono | 

Ca ne sert à rien, la news précise que les antivirus passent à côté...

Ce genre de truc n'est pas bien dangereux car il ne demande que de la vigilance de la part de l'utilisateur. Le jour où un programme malveillant s'installera de lui-même sans aucune interaction de l'utilisateur, on pourra reparler des antivirus (et encore, utilité très limitée).

avatar nemrod | 

@Fumomono

Si tu lis la question, tu noteras qu'elle n'est pas en rapport direct avec le sujet de la news.

avatar norlasque | 

@MisteriousGaga

Malwarebytes + Sophos ;)

avatar JadEstuaire | 

J'utilise https://itunes.apple.com/fr/app/virus-scanner-plus/id595374522?mt=12
Ne ralenti pas le Mac et protège aussi les navigateurs.
Depuis la dernière version le logiciel ne télécharge plus les maj, il suffit de le dés-installer totalement et de réinstaller depuis "Achats" de l'appli App Store.

avatar hirtrey | 

@MisteriousGaga

Le plus simple tu virtualises MacOS pour surfer et lire tes mails.

avatar mat 1696 | 

@MisteriousGaga

Comme le dit Totorum, je te conseil aussi Malwarebyte à lancer de temps en temps plutôt qu'en pseudo "anti-virus" tout le temps en tâche de fond qui fera plus de mal que de bien à ton Mac...

avatar alan1bangkok | 

Une pensée pour foufous...
Courage !

avatar lll | 

"Concrètement, il prend la forme d’un fichier zip qui est en fait une application qui commence par s’installer à un endroit difficile à déloger."

Je me vois mal ouvrir un fichier zip louche donc le problème est résolu pour moi ! ^^

D'ailleurs j'utilise un plugin quicklook me permettant de voir le contenu d'une archive zip. Vous pensez que si je scannais une telle archive avec ça (via le bouton espace), il y aurait un risque ?

avatar noooty | 

@lll

Tu n'as qu'à tester, et tu nous diras si tu as attrapé le malware...

avatar NerdForever | 

@lll

Oui l'exposition au virus est la même... Pour avoir ton aperçu le fichier est exécuté donc exposition identique à quelqu'un qui l'a ouvert sans "raccourci" et sans miniature... Au passage la création des fichiers d'apercu dans Mac expose pareil au virus...

avatar Grug | 

Très mignon la copie d’écran du truc à ne pas Cliquer avec le lien Cliquer pour agrandir en dessous. ;)

avatar Jipy | 

Question à 1,23€ : Si le message et sa PJ sont lus d'abord sur un device iOS, cela permet-il de voir le piège et le supprimer sans qu'il soit ouvert sur OSX ?

avatar LeGrosJeanLou | 

@Jipy

Il n'y a pas de piège. L'application ne s'installe pas toute seule donc tant que tu ne cliques pas dessus tu ne risques absolument rien. On parle bien de malware ici, pas de virus (dont la principale caractéristique est de s'installer sans intervention de l'utilisateur).

avatar MacGyver | 

Est ce que ca marche sous yosemite ?

Ca serait le pompom alors que les apps officielles buguent

avatar A884126 | 

@MisteriousGaga
J'ai eu ClamXAV, puis Avast, BitDefender et à présent ESET qui consomme très peu de ressource machine.
Je me suis basé sur les 2 grandes références :
https://www.av-comparatives.org/mac-security-reviews/
https://www.av-test.org/en/news/news-single-view/strong-protection-for-macos-sierra-12-packages-put-to-the-test/

Un blog intéressant :
http://securityspread.com/mac-antivirus-applications/

@stefhan
Oui pour le geek ou les jeunes, moins vrai pour les personnes âgées. Mon père à 72 ans et ne connait rien à l'informatique. Ayant tendance à cliquer sur tout je lui ai mis un AV pour assurer un minimum de protection.

@Fumomono
Pour info OSX/Spy.Dok.A à été ajouté à de nombreuses bases AV depuis le 27 avril.

ESET-NOD32 OSX/Spy.Dok.A 20170428
Fortinet MAC/Nion.A!tr 20170428
Ikarus Win32.Outbreak 20170428
TrendMicro OSX_DOK.A 20170428
TrendMicro-HouseCall OSX_DOK.A 20170428

avatar vache folle | 

@A884126

J'ai vu les tarifs en Suisse, la boite ne s'ennuie pas.

C'est vraiment plus efficace que Sophos, par exemple?
Parce qu'en lisant le comparatif sur le lien où y'a pas besoin de télécharger le PDF, les testeurs ont l'air de dire que Sophos est excellent, même s'il semble ralentir très, très peu la machine.

En tout cas, ce test m'a convaincu d'abandonner Avast pour Sophos.

avatar A884126 | 

@vache folle

Je l'avais en effet testé et il est vrai qu'il consomme beaucoup de CPU. De plus, selon les sites de références il n'arrive pas en tête des detections.

J'ai donc opté pour ESET car il est plus complet. J'utilise la version Cyber Security Pro. Il a un control parental, pare-feu ainsi qu'une option web-access qui permet de lister selon les besoins de l'utilisateur les URL autorisées ou celles qui ne le sont pas. Plus pratique que de gérer manuellement le fichier Host avec Terminal.
Les prix, il est vrai, sont élevés en Europe. Le truc c'est d'utiliser un VPN avec comme localisation Doha, Dubaï...bref le moyen orient. Les prix sur le site ESET local sont 3x moins chers et le règlement se fait sans problème avec PayPal. ;)

En complément, j'ai paramétré mon Time Capsule avec OpenDNS. Il suffit de s'inscrire, c'est gratuit, et de choisir un paramétrage par défaut ou de créer le sien.
Ce choix s'est fait vs Norton Connect Safe ou autres DNS car Open était simplement le plus rapide. Test effectué avec Namebench.

avatar vache folle | 

@A884126

Merci pour votre réponse.

Dernière question: J'irai voir ce qu'est openDNS, mais est-il possible de le configurer avec un fournisseur d'accès officiel?
J'utilise le câble (UPC à Genève), et si j'en crois la page de config du router, je ne vais pas pouvoir faire beaucoup de modif.
En même temps, je suis un noob total. ?

avatar A884126 | 

@vache folle

La configuration d'OpenDNS est très simple, cela ne nécessite pas de connaissances informatiques particulières.
https://www.opendns.com/home-internet-security/">https://www.opendns.com/home-internet-security/

Pour ce qui est de UPC, j'ai regardé rapidement et il semble en effet impossible de modifier les DNS- selon le manuel d'utilisation et le retour sur les forums.
J'ai rencontré le même problème avec Bouygues Télécom. Néanmoins, si vous n'avez pas de Airport Extreme ou Express chez vous il suffit de modifier les DNS sur chaque machine (Mac, iPhone, iPad ou Android) dans les paramétrages Wi-Fi.

Pour ce qui est des téléphones mobiles, il en est de même il impossible de modifier le DNS de l'opérateur. Néanmoins, vous pouvez comme moi installer Adguard Pro:
https://www.opendns.com/home-internet-security/">https://www.opendns.com/home-internet-security/
Et y ajouter les DNS de OpenDNS. C'est un moyen détourné qui fonctionne parfaitement.

avatar vache folle | 

@A884126

Merci beaucoup!

Excellent week-end.

avatar A884126 | 

@vache folle

Je vous prie. Très bon week-end à vous aussi !

avatar Fredo | 

Le document est joint au mail sous la forme d'une archive ZIP: il faut la décompresser puis double cliquer sur le fichier "Dokument" (en fait une app - bundle - sans le .app) pour lancer la fanfare.

Sans rentrer dans le détail du "comment on fait de la lessive qui lave plus blanc", un AV détecte des menaces sous la forme "textuelle". Comprendre, le protecteur crée des modèles de signatures basés sur des chaines de caractères, en fonction d'une grammaire interprétée par le moteur de l'AV.

Plus un modèle de signature pour un sujet est générique, plus il aura de chance d'attraper des malotrus, mais aussi de taquiner des innocents (on parle de Faux Positif). Dire qu'un AV ne sert à rien c'est à la fois juste et faux. C'est juste si on recherche une étude comportementale des activités du système, faux si on parle de détection heuristic - à savoir qui se nourrit des découvertes.

Il existe quelques solutions qui traquent le comportement du File System, avec plus ou moins de réussite. On appelle ça le Behavioral - à ne pas confondre avec l'analyse temps réelle. C'est cette dernière qui est gourmande en ressources CPU.

Le behavioral va analyser le comportement des processus, etc.
L'analyse temps réelle scanne l'activité des fichiers (ouverture, création, etc) comme le fait une analyse manuelle à la demande.

Quand vous choisissez un AV, ne vous basez pas uniquement sur sa gratuité ou sa "notoriété" relative mais sur la réactivité du produit (mises à jours des définitions) face aux menaces.

Dans le cas de OSX/Dok, il n'est pas étonnant qu'aucun AV ne l'a détecté vu que personne ne le connaissait encore. On utilise un site qui est un peu le Google Search de la recherche contre les Malware: VirusTotal.

avatar Yoskiz (non vérifié) | 

Il s'installe même sur une machine équipée de LittleSnitch 3 ?

avatar marenostrum | 

little snitch n'empêche pas d'installer, il te montre que les connections sortantes.

avatar Yoskiz (non vérifié) | 

@marenostrum

Le malware "FlashBack" et celui de la "macro Word" vérifiait sa présence avant de s'installer, sans doute car il se ferait "grillé" par l'utilisateur dans ce cas là.

avatar Moonwalker | 

"When Admin permission dialog box appears, enter password and click OK"

Ah! Ah! Ah! Ah! Ah!

Bref, vous installez un logiciel et il fait ce pour quoi il a été conçu. Comme n'importe quel logiciel que vous installez.

La faille exploitée est encore une fois la crédulité de l'utilisateur.

avatar vache folle | 

@Moonwalker

Comme la majorité des problèmes en informatique, la faille est entre la chaise et le clavier. ?

avatar P-AAAA | 

Quand j'ai doute avec une pièce jointe avant de l'ouvrir j'utilise ce site , certes la taille est limitée mais c'est pas mal ;)

https://www.virustotal.com/fr/

avatar angstrom | 

voici un lien plus précis sur les endroits de vérifications de la présence de DOK, ou pas , dans le système. En anglais mais le traducteur google suffit amplement.

http://www.idownloadblog.com/2017/04/28/mac-osxdok-malware/

avatar thunder72fr | 

Perso, j'ai un abonnement Total Security Multi-Device 2017 de Bitdefender (que je peux installer sur 5 appareils sous Windows, Mac Os, Android).
J'ai plusieurs machines qui ont toutes Bitdefender installé quelque soit le système à jour:

- PC Gamer Principal sous Windows 10 Pro.
- PC Secondaire sous Sierra
- Un Mac Pro 4.1 flashé 5.1 en double boot Windows10 / Sierra
- Un Macbook Pro Retina 15'' 2012 en triple boot Windows 10 / Sierra /Linux Mint

Chez moi, principe de précaution...(autodicdate en informatique tout systeme, toute machine depuis 1980 avec un apple II)

Même si je fais attention, il y a toujours un risque quelque soit le système (Windows, Os X, Linux, BSD, Android, IOS, etc...) , faute d' inattention par exemple.

Aucun système n'est parfait.

Tout le monde peut faire des erreurs. (Ceux qui prétendent le contraire sont des kéké prétentieux)

En comparaison, Je suis technicien de maintenance de métier avec des habilitations électrique HT/BT. Je prends toujours mes EPI (équipement de protection), je ne fais jamais confiance à un collègue si je reprend à la suite de lui un dépannage (S'il faut, je reprendrais dès le début), et je ne vais pas sur une armoire électrique la fleur au fusil....

avatar Jacti | 

Faut vraiment être c** ou ne rien connaître du tout pour ouvrir un fichier zip d'origine inconnue et les antivirus n'y pourrons jamais rien !

avatar A884126 | 

@Jacti

Les enfants ou les personnes âges ne le sont pas. Simplement innocents ou naïfs. Soyez respectueux.

avatar zoubi2 | 

@A884126

Je suis (presque) d'accord avec vous, mais de là à dire que toutes les personnes entre deux âges sont parfaitement au courant.... :-)

avatar A884126 | 

@zoubi2

Je suis d'accord mais je souhaitais rester respectueux de cette tranche d'âge dont je fais parti ;)

avatar Moonwalker | 

Rooh ! le gros cliché.

Tous les jeunes ne sont pas des niais et les vieux ne sont pas tous séniles. Loin de là.

Beaucoup de ceux qui se font rouler par ces attrapes nigauds* sont simplement des fainéants, des partisans du moindre effort qui n'ont jamais pris la peine de s'intéresser à leur machine. Et pour cela, il n'y a pas d'âge.

Avec quelques principes de bon sens on évite ces chausse-trappes.

Mais beaucoup ne naviguent pas mieux sur la toile qu'ils ne circulent sur la voie publique.

*et celui-ci est particulièrement grossier

avatar debione | 

Ouais, il y aussi ceux qui majoritairement n'en n'ont strictement rien à branler de l'informatique...

Comme la majorité des automobilistes sont incapables de décrire ce qu'est un différentiel, ne savent ce que veux dire "moteur atmosphérique", ne connaissent pas la différence entre 2 soupapes par cylindres et 4 et savent encore moins comment fonctionne un pot catalytique.
Cela ne veut pas dire pour autant qu'ils sont des dangers sur la voie publique, ou qu'il ne savent pas conduire....

C'est pas mal cliché aussi ce que tu prétends...

avatar Moonwalker | 

Quand on n'en a rien à branler de l'informatique, on n'utilise pas d'ordinateurs.

On ne leur demande pas de programmer mais d'avoir des comportements responsables quand ils vont sur internet ou quand ils reçoivent un email.

Ce n'est pas une affaire de pot catalytique mais de code de la route.

avatar debione | 

Sauf que le code de la route on t'oblige à le passer avant de te servir d'une voiture... Et bien peu de gens aurait lu ne serait-ce qu'une seule ligne de ce code de la route si ceci n'était pas obligatoire...

Il n'y a pas de code de la rout en informatique, rien que dalle...

avatar Bigdidou | 

@Moonwalker

"Quand on n'en a rien à branler de l'informatique, on n'utilise pas d'ordinateurs."

Ben si, comme un outil qui doit me faire perdre le moins de temps possible à son utilisation et à cause de ses dysfonctionnements, pannes et virus.
Mon métier c'est pas d'utiliser un ordinateur, mais il 'st devenu indispensable, et j'entends qu'il soit aussi transparent que possible.
Un virus n'a pas à arriver dans ma boite mail ou, pire, se balader dans le réseau : si c'est le cas c'est que les gens qui me considèrent comme le crétin entre la chaise et l'écran sont, au mieux, incompétents.

avatar Bigdidou | 

@debione

"Ouais, il y aussi ceux qui majoritairement n'en n'ont strictement rien à branler de l'informatique... "

Tout à,fait, mais ça c'est quelque chose qui n'est manifestement pas entendable, ni ici, ni souvent au boulot.
Tu deviens "un con pathétique" ou la,chose débile "entre le clavier et l'écran" (ce qui est portant très difficile à faire et mériterait des éloges pour ces compétences physiques).
Bon, maintenant que j'ai pris du galon, et que je bosse dans de plus petites structures les rapports se sont enfin inversés, mais je garde des souvenirs cuisants de l'APHP.

avatar Jacti | 

J'ai dis "ou ne rien connaître du tout" (et il n'y a pas que les enfants ou les personnes âgées).

avatar mac_adam | 

@jacti :
"ou ne rien connaître du tout" : comme toi qui ignores que Safari ouvre les fichiers Zip automatiquement ?

avatar mac_adam | 

A ce propos, j'ajoute qu'il y a environ six ans, lorsque je me suis dit que peut-être OSX n'était pas à l'abris de tout virus, j'ai essayé Bitdefender et Kaspersky, l'un m'a découvert deux virus pour OSX, l'autre un troisième (je ne sais plus lequel des deux antivirus avait laissé passé un des trois virus), qui étaient en effet des fichiers Zip de quelques kilo-octets planqués au fin fond de la Bibliothèque.
Heureusement à l'époque j'utilisais presqu'exclusivement Firefox qui n'ouvre pas automatiquement les Zip (et peut-être qu'à l'époque Safari ne le faisait pas non plus).

avatar Moonwalker | 

Ouvrir automatiquement le zip ne veut pas dire installer et lancer le programme qu'il contient. De plus, cette fonction a des contrôles qui empêchent de berner l'OS sur la vraie nature du zip.

C'était l'objet d'une vieille faille de mail vers 2005-2006 (SecUpdate 2006-002).

Mais bon, je n'ai jamais aimé cette fonction qui me monte automatiquement les images disques que je télécharge ou me lance les vidéos alors que je n'en ai pas le désir. Je la désactive dès que je prends en main une machine et je n'ai jamais compris pourquoi Apple laissait cela par défaut.

Pages

CONNEXION UTILISATEUR