Ouvrir le menu principal

MacGeneration

Recherche

OSX/Dok, un nouveau malware qui dupe Gatekeeper

Nicolas Furno

vendredi 28 avril 2017 à 16:41 • 72

Logiciels

L’époque où le système d’Apple était bien protégé des malwares est bien terminée. Malgré les protections mises en place par le constructeur, les créateurs de logiciels malveillants parviennent toujours à passer, comme en témoigne ce nouveau-venu. Nommé OSX/Dok, il parvient à contourner Gatekeeper, la principale protection de macOS, parce qu’il est signé avec un certificat fourni par Apple. Par ailleurs, il n’est pas détecté correctement par les antivirus.

Ce malware reproduit de manière approximative une alerte macOS. Ce n’est pas exactement fidèle, mais suffisamment pour tromper une bonne partie des utilisateurs. Cliquer pour agrandir

Naturellement, Apple comme les éditeurs d’antivirus vont tout faire pour bloquer ce malware précis, mais c’est bien la preuve que les protections mises en place par macOS ne suffisent jamais totalement. OSX/Dok est transmis par mail et vise les utilisateurs européens, notamment les anglophones et germanophones.

Concrètement, il prend la forme d’un fichier zip qui est en fait une application qui commence par s’installer à un endroit difficile à déloger. Elle s’ajoute aux applications ouvertes au lancement du système pour toujours être présente et une fois que c’est fait, elle affiche une alerte qui occupe tout l’écran (ci-dessus). Cette alerte recouvre les autres fenêtres et elle ne peut pas être fermée facilement, en tout cas pas sans cliquer sur son unique bouton.

C’est en cliquant sur le bouton qu’il devient vraiment malveillant, tout en restant suffisamment discret pour que l’utilisateur lambda ne voit rien du tout. Il installe le gestionnaire de paquets Homebrew et exécute un script qui installe les outils nécessaires pour mettre en place un proxy. Pour faire simple, le Mac va être configuré pour que toutes les connexions à internet passent par un serveur tiers, y compris celles qui sont sécurisées.

Après avoir agi, le malware a configuré un proxy dans macOS. Dès lors, toutes les connexions transiteront par un serveur tiers. Cliquer pour agrandir

OSX/Dok configure également le système pour assurer que cette connexion via un serveur tiers soit maintenue entre deux redémarrages ou même après une mise à jour de macOS. Et pour cacher ses traces, il se désinstalle de lui-même.

En attendant qu’Apple bloque le certificat en question, les conseils sont toujours les mêmes. N’ouvrez pas un fichier dont vous ne connaissez pas la source. Et surtout, ne saisissez pas le mot de passe administrateur de votre Mac sans savoir exactement pour quoi faire.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Ulanzi présente une station d'accueil au look de petit Mac Pro

10:15

• 3


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

09:18

• 8


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

08:33

• 1


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

07:52

• 18


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 32


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 8


Test du ViewSonic ColorPro VP2788-5K : 27″, 5K et DCI-P3 pour le prix d’un demi-Studio Display

03/07/2025 à 20:30

• 8


Guerre commerciale : les produits fabriqués au Vietnam voient leur taxe multipliée par cinq

03/07/2025 à 20:20

• 20


Microsoft Office 2021 pour Mac à 49,99 € : une aubaine à ne pas rater pendant les soldes d’été 📍

03/07/2025 à 20:07

• 0


L’iPhone 17 Pro Max pourrait avoir une grosse batterie de 5 000 mAh

03/07/2025 à 19:50

• 35


Une extension Chrome et Firefox désactive le doublage par IA de YouTube

03/07/2025 à 17:14

• 22


Le générateur de vidéos Veo 3 est désormais disponible en France dans l’application Gemini

03/07/2025 à 16:00

• 1


Starlink pourrait amener un Wi-Fi plus rapide et plus fiable dans les TGV

03/07/2025 à 15:39

• 44


Les identifiants d’une quinzaine de futurs Mac en fuite

03/07/2025 à 15:15

• 21


L'utilitaire pour faire tourner des LLM en local Ollama devient une application native

03/07/2025 à 14:27

• 29


Apple rejoint discrètement Threads, le dernier réseau social de Meta

03/07/2025 à 13:30

• 5