Gewiekste Mac-malware spioneert versleuteld webverkeer

De Mac had nooit zo'n last van malware, maar daar komt verandering in. Nieuwe malware sluipt zo langs de beveiliging van Apple.

De nieuwe malware werd ontdekt door beveiligingsbedrijf Check Point en heeft de naam OSX/Dok gekregen. De malware werkt op alle versies van MacOS en kan zonder gedetecteerd te worden langs GateKeeper komen. Die beveiliging zorgt er normaal gesproken voor dat je alleen software op de Mac kan installeren uit de App Store of van geverifieerde ontwikkelaars.

Die ontwikkelaars gebruiken een certificaat van Apple, maar de OSX/Dok-malware heeft ook zo’n certificaat. Als de malware een Mac eenmaal heeft besmet, kan die al het internetverkeer bekijken, ongeacht of de gebruiker beveiligde https-pagina’s bezoekt. Zoals veel malware wordt ook OSX/Dok via e-mail verspreid.

Proxy

De mail vraagt gebruikers een malafide zip-bestand te openen, dat door gebruik van een Apple-certificaat zonder problemen de malware installeert. Eenmaal geïnstalleerd plaatst de malware zich in de gedeelde map van de gebruiker, en stelt het zichzelf in als login-item. Zo wordt de malware elke keer weer gestart als de Mac opnieuw wordt opgestart. Daarna legt de malware een venster over alle andere vensters, dat eruit ziet als een standaardmelding.

De gebruiker wordt gevraagd zijn wachtwoord in te voeren, waardoor de malware adminrechten krijgt. Dan wordt al het internetverkeer van de gebruiker via een proxy geleid, en kan het dus bespioneerd worden.