OSX/Dok, un nouveau malware qui dupe Gatekeeper

Nicolas Furno |

L’époque où le système d’Apple était bien protégé des malwares est bien terminée. Malgré les protections mises en place par le constructeur, les créateurs de logiciels malveillants parviennent toujours à passer, comme en témoigne ce nouveau-venu. Nommé OSX/Dok, il parvient à contourner Gatekeeper, la principale protection de macOS, parce qu’il est signé avec un certificat fourni par Apple. Par ailleurs, il n’est pas détecté correctement par les antivirus.

Ce malware reproduit de manière approximative une alerte macOS. Ce n’est pas exactement fidèle, mais suffisamment pour tromper une bonne partie des utilisateurs. Cliquer pour agrandir

Naturellement, Apple comme les éditeurs d’antivirus vont tout faire pour bloquer ce malware précis, mais c’est bien la preuve que les protections mises en place par macOS ne suffisent jamais totalement. OSX/Dok est transmis par mail et vise les utilisateurs européens, notamment les anglophones et germanophones.

Concrètement, il prend la forme d’un fichier zip qui est en fait une application qui commence par s’installer à un endroit difficile à déloger. Elle s’ajoute aux applications ouvertes au lancement du système pour toujours être présente et une fois que c’est fait, elle affiche une alerte qui occupe tout l’écran (ci-dessus). Cette alerte recouvre les autres fenêtres et elle ne peut pas être fermée facilement, en tout cas pas sans cliquer sur son unique bouton.

C’est en cliquant sur le bouton qu’il devient vraiment malveillant, tout en restant suffisamment discret pour que l’utilisateur lambda ne voit rien du tout. Il installe le gestionnaire de paquets Homebrew et exécute un script qui installe les outils nécessaires pour mettre en place un proxy. Pour faire simple, le Mac va être configuré pour que toutes les connexions à internet passent par un serveur tiers, y compris celles qui sont sécurisées.

Après avoir agi, le malware a configuré un proxy dans macOS. Dès lors, toutes les connexions transiteront par un serveur tiers. Cliquer pour agrandir

OSX/Dok configure également le système pour assurer que cette connexion via un serveur tiers soit maintenue entre deux redémarrages ou même après une mise à jour de macOS. Et pour cacher ses traces, il se désinstalle de lui-même.

En attendant qu’Apple bloque le certificat en question, les conseils sont toujours les mêmes. N’ouvrez pas un fichier dont vous ne connaissez pas la source. Et surtout, ne saisissez pas le mot de passe administrateur de votre Mac sans savoir exactement pour quoi faire.

avatar MisteriousGaga | 

Wow...
D'ailleurs ce serait intéressant que vous fassiez un comparatif des 3-4 meilleurs antivirus de 2017 (gratuits compris hehe) !
J'avoue chercher et tester plusieurs solutions mais j'ai du mal à faire mon choix...

D'ailleurs quelqu'un sait si Avast est véritablement Le meilleur antivirus gratuit ? ^^

avatar stefhan | 

C'est une question sérieuse ?
Car sinon la réponse est : aucun et vigilance absolue.

avatar vache folle | 

@stefhan

Sauf quand votre mac est branché à un réseau Windows, ça permet quand même de scanner les fichiers reçus avant de les balancer sur le serveur.

C'est pour ce cas de figure que j'ai installé Avast.

avatar Avenger | 

@ stefhan

Continuer à dire qu'un antivirus n'est pas nécessaire, sur Mac, c'est manquer terriblement de nuances!

Même si les virus sont très très rares, ils n'en sont pas moins réels! Et pour de nombreux utilisateurs qui ne maitrisent pas leur Mac, avoir un anti-virus est un gage d'une plus grande sérénité. Et cela permet également d'éviter de transmettre beaucoup de virus à ses correspondants sous Windows.

avatar Totorum | 

@MisteriousGaga

J'ai lu ça et là que les antivirus dispos sur macOs sont relativement peu efficaces, mais surtout qu'ils nécessitent pas mal de ressources pour tourner... Je peux te recommander Malwrebytes for Mac, qui n'est pas un antivirus mais capable de faire des scans quand vous le souhaitez pour retirer les menaces déjà présentes sur votre ordinateur. Voilà voilà :)

avatar marc_os | 

@ Totorum
Sauf que Malwrebytes ne détecte pas par exemple les extensions Safari foireuses (Adwares) si elles ne sont pas encore instalées ! Donc en matière de prévention, ce truc est très limité.
Pour des scans, il y a d'autre antivirus qu'on peut utiliser en mode démo si un jour on a comme un doute ou même si c'est trop tart et qu'on s'est chopé un adware parce qu'on aura fait confiance à un site tiers de pub à logiciels et qu'on en a installé un sans aller voir sur le site officiel de l'éditeur.

avatar Fumomono | 

Ca ne sert à rien, la news précise que les antivirus passent à côté...

Ce genre de truc n'est pas bien dangereux car il ne demande que de la vigilance de la part de l'utilisateur. Le jour où un programme malveillant s'installera de lui-même sans aucune interaction de l'utilisateur, on pourra reparler des antivirus (et encore, utilité très limitée).

avatar nemrod | 

@Fumomono

Si tu lis la question, tu noteras qu'elle n'est pas en rapport direct avec le sujet de la news.

avatar norlasque | 

@MisteriousGaga

Malwarebytes + Sophos ;)

avatar JadEstuaire | 

J'utilise https://itunes.apple.com/fr/app/virus-scanner-plus/id595374522?mt=12
Ne ralenti pas le Mac et protège aussi les navigateurs.
Depuis la dernière version le logiciel ne télécharge plus les maj, il suffit de le dés-installer totalement et de réinstaller depuis "Achats" de l'appli App Store.

avatar hirtrey | 

@MisteriousGaga

Le plus simple tu virtualises MacOS pour surfer et lire tes mails.

avatar mat 1696 | 

@MisteriousGaga

Comme le dit Totorum, je te conseil aussi Malwarebyte à lancer de temps en temps plutôt qu'en pseudo "anti-virus" tout le temps en tâche de fond qui fera plus de mal que de bien à ton Mac...

avatar alan1bangkok | 

Une pensée pour foufous...
Courage !

avatar lll | 

"Concrètement, il prend la forme d’un fichier zip qui est en fait une application qui commence par s’installer à un endroit difficile à déloger."

Je me vois mal ouvrir un fichier zip louche donc le problème est résolu pour moi ! ^^

D'ailleurs j'utilise un plugin quicklook me permettant de voir le contenu d'une archive zip. Vous pensez que si je scannais une telle archive avec ça (via le bouton espace), il y aurait un risque ?

avatar noooty | 

@lll

Tu n'as qu'à tester, et tu nous diras si tu as attrapé le malware...

avatar NerdForever | 

@lll

Oui l'exposition au virus est la même... Pour avoir ton aperçu le fichier est exécuté donc exposition identique à quelqu'un qui l'a ouvert sans "raccourci" et sans miniature... Au passage la création des fichiers d'apercu dans Mac expose pareil au virus...

avatar Grug | 

Très mignon la copie d’écran du truc à ne pas Cliquer avec le lien Cliquer pour agrandir en dessous. ;)

avatar Jipy | 

Question à 1,23€ : Si le message et sa PJ sont lus d'abord sur un device iOS, cela permet-il de voir le piège et le supprimer sans qu'il soit ouvert sur OSX ?

avatar LeGrosJeanLou | 

@Jipy

Il n'y a pas de piège. L'application ne s'installe pas toute seule donc tant que tu ne cliques pas dessus tu ne risques absolument rien. On parle bien de malware ici, pas de virus (dont la principale caractéristique est de s'installer sans intervention de l'utilisateur).

avatar MacGyver | 

Est ce que ca marche sous yosemite ?

Ca serait le pompom alors que les apps officielles buguent

avatar A884126 | 

@MisteriousGaga
J'ai eu ClamXAV, puis Avast, BitDefender et à présent ESET qui consomme très peu de ressource machine.
Je me suis basé sur les 2 grandes références :
https://www.av-comparatives.org/mac-security-reviews/
https://www.av-test.org/en/news/news-single-view/strong-protection-for-m...

Un blog intéressant :
http://securityspread.com/mac-antivirus-applications/

@stefhan
Oui pour le geek ou les jeunes, moins vrai pour les personnes âgées. Mon père à 72 ans et ne connait rien à l'informatique. Ayant tendance à cliquer sur tout je lui ai mis un AV pour assurer un minimum de protection.

@Fumomono
Pour info OSX/Spy.Dok.A à été ajouté à de nombreuses bases AV depuis le 27 avril.

ESET-NOD32 OSX/Spy.Dok.A 20170428
Fortinet MAC/Nion.A!tr 20170428
Ikarus Win32.Outbreak 20170428
TrendMicro OSX_DOK.A 20170428
TrendMicro-HouseCall OSX_DOK.A 20170428

avatar vache folle | 

@A884126

J'ai vu les tarifs en Suisse, la boite ne s'ennuie pas.

C'est vraiment plus efficace que Sophos, par exemple?
Parce qu'en lisant le comparatif sur le lien où y'a pas besoin de télécharger le PDF, les testeurs ont l'air de dire que Sophos est excellent, même s'il semble ralentir très, très peu la machine.

En tout cas, ce test m'a convaincu d'abandonner Avast pour Sophos.

avatar A884126 | 

@vache folle

Je l'avais en effet testé et il est vrai qu'il consomme beaucoup de CPU. De plus, selon les sites de références il n'arrive pas en tête des detections.

J'ai donc opté pour ESET car il est plus complet. J'utilise la version Cyber Security Pro. Il a un control parental, pare-feu ainsi qu'une option web-access qui permet de lister selon les besoins de l'utilisateur les URL autorisées ou celles qui ne le sont pas. Plus pratique que de gérer manuellement le fichier Host avec Terminal.
Les prix, il est vrai, sont élevés en Europe. Le truc c'est d'utiliser un VPN avec comme localisation Doha, Dubaï...bref le moyen orient. Les prix sur le site ESET local sont 3x moins chers et le règlement se fait sans problème avec PayPal. ;)

En complément, j'ai paramétré mon Time Capsule avec OpenDNS. Il suffit de s'inscrire, c'est gratuit, et de choisir un paramétrage par défaut ou de créer le sien.
Ce choix s'est fait vs Norton Connect Safe ou autres DNS car Open était simplement le plus rapide. Test effectué avec Namebench.

avatar vache folle | 

@A884126

Merci pour votre réponse.

Dernière question: J'irai voir ce qu'est openDNS, mais est-il possible de le configurer avec un fournisseur d'accès officiel?
J'utilise le câble (UPC à Genève), et si j'en crois la page de config du router, je ne vais pas pouvoir faire beaucoup de modif.
En même temps, je suis un noob total. ?

avatar A884126 | 

@vache folle

La configuration d'OpenDNS est très simple, cela ne nécessite pas de connaissances informatiques particulières.
https://www.opendns.com/home-internet-security/

Pour ce qui est de UPC, j'ai regardé rapidement et il semble en effet impossible de modifier les DNS- selon le manuel d'utilisation et le retour sur les forums.
J'ai rencontré le même problème avec Bouygues Télécom. Néanmoins, si vous n'avez pas de Airport Extreme ou Express chez vous il suffit de modifier les DNS sur chaque machine (Mac, iPhone, iPad ou Android) dans les paramétrages Wi-Fi.

Pour ce qui est des téléphones mobiles, il en est de même il impossible de modifier le DNS de l'opérateur. Néanmoins, vous pouvez comme moi installer Adguard Pro:
https://www.opendns.com/home-internet-security/
Et y ajouter les DNS de OpenDNS. C'est un moyen détourné qui fonctionne parfaitement.

Pages

CONNEXION UTILISATEUR