概述

OSX.Dok恶意软件最初发现于2017年，这一恶意软件比大多数针对macOS的恶意软件都更为复杂，因此当我们看到它重新浮出水面时，也完全不会感到惊讶。在本文中，我们将详细分析该恶意软件的工作原理，并对当前恶意软件的感染状况进行描述。

故事要起源于圣诞节那天，在2018年12月25日12:48，OSX.Dok的一个新型变种经过有效的开发者ID签名，并发布到网络。我们在1月9日首次发现这一恶意软件，并通过非官方渠道通知了Apple。不久之后，恶意软件开发者的签名被Cupertino公司撤销。尽管如此，该措施并没有阻止攻击者对Mac的持续破坏。

关于Dok

在OSX.Dok中，包含一个DMG，其文件名为DHL_Dokument.dmg或Strichkode DHL Express.dmg，并且使用名称为Swisscom.Application的BundleID。

2017版本的OSX.Dok使用假冒的预览图标来伪装应用程序包。该恶意软件主要针对欧洲的Mac用户，并通过电子邮件网络钓鱼活动传播，该恶意活动试图使用户相信他们的纳税申报存在问题。

在新版本中，使用了类似的技巧，Dukument具有虚假的Adobe PDF图标，以此作为伪装。当用户安装DMG时，将会显示“点击两次图标以查看文档”的说明。尽管目前我们还没有发现该恶意软件是如何进行传播的，但鉴于DMG文件的标题是DHL_Dokument（DHL是一家德国邮政服务以及国际快递公司），并且其中包含德语文本，因此我们猜测它可能是针对相同的目标用户，并采取与此前类似的电子邮件传播技巧。

在视图的底部，有一个几乎无法看到的文件名，揭示了它的本质：“Dokument.app”。如果在Finder的列视图或列表视图中打开DMG，则会更加明显：

不同类型的App Store

双击Dokument.app后，会启动各种任务，并在后台安装一些应用程序。从用户的角度来看，首先用户的桌面会被伪装的“App Store”更新页面所替代。该应用程序禁用了键盘，因此用户无法取消或强制退出此视图。尽管我们并没有经常在macOS上看到这种技术，但实际上这并不是攻击者想到的新型技术。游戏开发人员通常使用此类Apple API，使用户产生身临其境的体验，并且让玩家进入特定的游戏环境。攻击者利用了与之相同的原理，编写该恶意软件。

在恶意软件的场景下，之所以要禁用键盘，是为了在恶意软件安装其他各类软件时，尽最大可能阻止用户的干扰。事实上，如果用户使用的是带有散热风扇的Mac，会发现在这些软件的安装过程中风扇不停转动。整个安装过程需要几分钟。

在此期间，恶意软件可能会重新启用键盘，以允许受害者在弹出的对话框中输入凭据。用户如果点击“取消”，那么该窗口将会再次弹出，因此“取消”按钮并没有实际意义。对于受害者来说，这时唯一可以进行的操作就是强制关机，然后以安全模式启动操作系统，清除恶意软件，并清除已经安装的持久性代理。

如果受害者在诱导下提供了密码，那么OSX.Dok将继续安装隐藏版本的Tor，以及一些实现秘密通信的实用程序：Socat、Filan和Procan。Socat实用程序允许恶意软件监听5555和5588端口，直到有连接连入。连接本身是来自localhost的流量，由恶意软件安装的AutoProxy重定向到5555端口。

恶意软件将多个Apple域名写入到本地Host文件，以便将与这些域名的连接重定向到127.0.0.1。一旦恶意软件开始捕获用户的流量，它就会连接到暗网上的服务器ltro3fxssy7xsqgz.onion，并开始数据传输。

持久性和特权

与此同时，恶意安装程序会写入多个持久性代理。其中的3个安装在用户的Library LaunchAgents文件夹中，1个安装在本地域名的LaunchDaemons文件夹中：

位于/usr/local/bin/JKHFJqTP中的LaunchDaemon程序参数是一个Shell脚本，可以确保在所有接口上设置AutoProxy。

与早期版本的OSX.Duk一样，这一版本的恶意软件在Keychain中安装了一个信任证书。它还会写入sudoers文件，从而确保可以持续拥有特权，而无需重复请求密码。/etc/sudoers中显示的最后一个条目表明任何用户都可以运行任何sudo命令，而不会被提示进行身份验证。

与欧洲的关联

这一版本的OSX.Dok是对旧版本的复制，二者间具有以下差异：

· 新开发者ID为Anton Ilin（48R325WWDB）；

· 新App BundleID为Swisscom.Application；

· 新图标为：Adobe PDF（而不再是预览PDF）；

· 新暗网地址为：ltro3fxssy7xsqgz.onion。

通过SentinelOne代理，我们不仅能够检测OSX.Dok，还发现OSX.Dok的作者已经将FTP用户名和密码以硬编码的方式写入该恶意软件中。

控制台的“可见性”功能表明，恶意软件使用curl和FTP协议，将受害者计算机上的日志文件上传到以下地址（我们认为，该地址的所有者可能首先被攻击，然后在不知情的情况下托管了这些文件）：

ftp://engel-*******:0*******88@ftp.k******a.com/logs/

使用硬编码的用户名和密码，我们能够访问FTP服务器。我们注意到，在撰写本文时仍然在不断发送日志，并且在1天之内已经收集了43个日志。下面是一些受害者日志文件的部分列表：

总结

如本文所述，OSX.Dok重新回来了。由于该恶意软件能够完全拦截受害者的互联网流量，因此这一恶意软件对macOS用户来说无疑是具有较高风险的。尽管安装过程采用了非常明显的界面，从而导致大部分用户可能会觉得可疑，但考虑到Mac用户普遍没有使用第三方安全解决方案，以及Apple内置保护措施（例如XProtect和Gatekeeper）的弱点，这些用户的安全性仍然无法得到保障。我们在分析过程中发现，近1天之内至少发生了43次成功攻陷事件。我们正在将调查结果发送给相关机构，有关该威胁的进一步分析结果将会同步公开发表。

本文翻译自：https://www.sentinelone.com/blog/mac-malware-osx-dok-is-back-actively-infecting-victims/

翻译作者：41yf1sh 原文地址：  http://www.4hou.com/system/15848.html