משתמשי מק? נוזקה חדשה וקשה לגילוי מסתובבת חופשי
נוזקה חדשה שמכוונת למחשבי המק מאפשרת לתוקפים לקבל גישה לכל האתרים והסיסמאות שבהם אתם משתמשים. הבעיה: היא קשה מאוד לגילוי
מקור: צ’ק פוינט
זוכרים את הימים שמחשבי המק נהנו מתדמית של מחשבים שחסינים בפני וירוסים ונוזקות? בשנים האחרונות התדמית הזו משתנה במהירות ואנחנו רואים עוד ועוד דוגמאות לכך. למעשה, מחקר של McAfee Labs (מקאפי) שפורסם לאחרונה חשף שמספר הנוזקות שכוונו כנגד מחשבי מק זינק ב-744 אחוזים בשנת 2016 ביחס לשנה הקודמת. עתה חושפת חברת האבטחה הישראלית צ’ק פוינט נוזקה חדשה ומסוכנת שלא ניתנת לזיהוי ולגילוי באמצעים הקיימים.
כל האתרים והסיסמאות שלכם יהיו חשופים לתוקפים
הנוזקה החדשה שזכתה לשם OSX/Dok פועלת בכמה שלבים. בשלב הראשון נשלחת הודעת פישינג במייל. משתמשים גרמניים למשל זכו לקבל הודעה בגרמנית שמודיעה להם שנמצאו כמה בעיות בהחזרי המס שלהם, לכן הם מתבקשים לפתוח את קובץ ה-ZIP המצורף (Dokument.zip) ולהשלים את התהליך. מרגע שהקורבן מפעיל את הקובץ, הנוזקה מתקינה את עצמה על גבי המחשב ורצה אוטומטית בכל פעם שהמחשב מאותחל. כעבור זמן מה, מופיעה הודעה שמתחזה לעדכון macOS. המשתמש לא יכול להעלים את ההודעה או לעבור לתוכנה אחרת והוא מתבקש להזין את הסיסמה שלו, כדי “לסיים את תהליך העדכון”. מרגע שלנוזקה יש את פרטי החשבון של הקורבן, היא כבר נהנית מגישת אדמיניסטרטור על המק ויכולה למעשה לעשות כרצונה.
קטע קוד מהנוזקה. מקור: צ’ק פוינט
בשלב הבא, מתקינה OSX/Dok מספר כלים כמו brew, TOR ו-SOCAT ומשנה את הגדרות תעבורת הנתונים של המחשב, כך שכל הנתונים יעברו דרך שרת פרוקסי שמשתנה כל הזמן. במילים אחרות, כל אתר שבו אתם מבקרים, כל סיסמה שאתם מקלידים, כל קובץ שאתם מעבירים – הכל עובר דרך השרת של התוקפים וגלוי בפניהם, במה שידוע כמתקפת Man-In-the-Middle (“אדם בתווך”). ברגע שהתוקף סיים להשיג את שרצה – הוא יכול למחוק מרחוק את הנוזקה ולהעלים כך את הראיות.
גם האנטי-וירוס שלכם לא יגלה אותה
הנוזקה החדשה מסוכנת מכיוון שהיא קשה מאוד לגילוי ולאיתור. כך למשל היא לא מזוהה על ידי מאגר הוירוסים הגדול VirusTotal. יתרה מזאת, גם Gatekeeper, המערכת שנועדה למנוע התקנה של תוכנות לא מורשות ומסוכנות, לא תצליח לעצור את הנוזקה הזו משום שלמפתחים שלה יש ‘תעודה’ (certificate) או חתימה דיגיטלית שמאשרת שהם בתוכנית המפתחים של אפל. כמובן שסביר להניח שאפל תשלול את האישור הזה בזמן הקרוב מאוד, אם היא עוד לא עשתה זאת, אולם, התוקפים יוכלו להציף אותה שוב דרך חשבון מפתח אחר.
יניב אביטל
עורך אתר גיקטיים. יש לכם רעיון לכתבה? טיפ סודי? הדלפה? מחכה לכם ב-yaneev@geektime.co.il
הגב
12 תגובות על "משתמשי מק? נוזקה חדשה וקשה לגילוי מסתובבת חופשי"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
אין דבר כזה מערכת בטוחה, יש רק מערכת בלי משתמשים.
רק לינוקס בטוח!!!! אין שם דבר כזה להתקין תכנות בלי שהמשתמש יודע על זה!!!!!
לינקוס כל כך בטוח ככה ששום מדפסת HP לא עובדת שם.
יש אופציה כזאת גם בווינדוס עשר. כל פעם שאני מתקין אפליקציה מחוץ לחנות הוא נותן לי התראה. וחוץ מיזה ללינוקס יש יחסית מעט מאוד משתמשים בייתים ככה שאין לכם מה לדאוג יותר מדי ביינתים.
זה מאד מסוכן. אפל אני לא מאמין!
לא שאני מגן חלילה על אפל, אבל מה היא אשמה? בכול מערכת הפעלה יש פרצות, זה שלמק יש משמעותית הרבה פחות משתמשים הופך את זה ללא שווה לפתח וירוסים (חוץ מזה שמק באמת יותר “חסין”)
אני לא חושב שמישהו מאשים את אפל. האשם הוא במשתמש שנפל בפישינג. אבל מצד שני, מפתחי הנוזקה הצליחו לחמוק מתחת לגדר של ‘גייטקיפר’, שאמורה להגן בדיוק מפני מצבים כאלו.
הוא לא באמת יותר “חסין”, זה נטו עניין של משתמשים. המערכות היחידות שאפשר לומר עליהם שהם בטוחות בצורה מיוחדת הם מערכות עיסקיות ולשרתים וכו
זה יכול לקרות בכל מחשב בלי שום קשר למק לא מק.
כל שצריך לעשות זה לא לפתוח אימיילים לא מוכרים ובטח שלא להוריד קבצים למחשב מאותם שולחים לא מוכרים.
נכון. מצד שני, מפתח הנוזקה השתמש ב’אישור’ של אפל, כדי לחדור למחשבים שמוגנים לכאורה עם ‘גייטקיפר’
זה כמו של תוכנה בוידאוס היא חתימה ויטראלית שהתוכנה ללא נזוקות והיא בעל מפתח ״רשמי״
זה לא עד כדי כך דומה. אני לא מכיר אף אחד שבאמת מסמך על התכונה הזאת. זה לא מה שישכנע אותי שהאפליקציה בטוחה.