近期，由CheckPoint發現了一款針對macOS的惡意木馬--OSX/Dok，該惡意木馬主要通過誘使受害者下載后強制性要求“系統升級”，從而騙取你的管理員口令，再通過一些手段監控受害者的http/https流量，竊取到有價值的數據。
 
0x0 感染方式
該木馬主要活躍于歐洲，打著稅務局賬單的旗號發送釣魚郵件，誘使中招者下載一個名為“Dokument”的軟件，這個軟件還偽造成了“預覽”的樣子，但是當你打開它后，會顯示一個提示框提示文件可能損壞不能打開，但是你以為這就完了？？恰好相反，當你點擊“OK”的時候，恰好中招~


 
0x1 OSX/Dok
OSX/Dok的主要功能比較明確: 
1. 強制性“更新”，要求輸入管理員密碼
2. 下載berw，tor，socket等工具
3. 使用下載的這些工具，重定向中招者的http/https流量進行監控
 
0x2 詳細分析
我們先本地看看目標binary的一些簽名信息

看得出來這簽名還是有些正規的~~~不過Apple已經把這個給撤銷了 在運行程序之前，惡意程序會被復制到`/Users/Share`中

當這個惡意程序運行時，會彈出警告框，點擊OK之后，等到5s之后就會開始運行，并刪除應用程序，然后會出現一個覆蓋全屏幕的窗口，提示要更新系統


然后彈出一個彈框要求輸入密碼，等等，你沒看錯，它的binary名稱就叫做“AppStore”，而正常的應該是“App Store”


而惡意程序還把自己添加在了`系統偏好設置->用戶與群組->登錄項`中，以便于當沒安裝完成就關機，重啟后繼續安裝

但是等程序安裝完成后，登錄項中的“AppStore”就會被刪掉


在“更新”的過程中，會彈出幾次要求你輸入管理員密碼，猜想應該是在安裝一些命令行工具或者進行一些系統操作時需要管理員身份，但之后為什么不需要了呢？

我們在`/etc/sudoers`文件中可以看到最底下多了一條`ALL=(ALL) NOPASSWD: ALL`命令，這條命令主要作用就是在之后的操作中免輸入密碼

我們來看看，這些就是攻擊者通過brew下載的一些工具


然后惡意程序會偷偷更改用戶的的網絡配置

 
其中的`paoyu7gub72lykuk.onion`一看就是暗網的網址，tor就是暗網搜索引擎
以上命令大概說的就是通過TCP ipv4協議，本地監聽5555端口，來自這個端口的請求通過本地的9050端口轉到目標`paoyu7gub72lykuk.onion`的80端口(第二個同樣的說法)打開`系統設置->網絡->高級`,可以看到自動代理已經被偷偷改了

攻擊者還在用戶的Mac中安裝了一個證書，用于對用戶進行MiTM，攔截用戶流量

 

 
0x3 總結
據統計，惡意木馬占所有惡意軟件的75%，他們大多數都很隱蔽，有時甚至幾個月都一聲不吭，這次這個也算比較特殊，其實明眼人看到這個更新基本上就知道出問題了，但是不排除有很多對Mac不熟悉的人，他們以為是正常的更新，然后勒索軟件運行完之后又會被刪除，不容易發現，所以就會中招。 防患于未然，平時收到陌生郵件的時候，如果有附件或者鏈接，最好不要打開，把這種事情扼殺在搖籃中最好不過了，也免去了不少不必要的麻煩。