DOK, le malware macOS qui utilisait un certificat reconnu par Apple

Une importante menace a été détectée sur Mac. Le malware, nommé Dok, est en capacité de prendre le contrôle de la machine et pouvait jusqu'à récemment éviter la détection par la plupart des antivirus. 

Traditionnellement, bon nombre d’utilisateurs de macOS considèrent qu’ils sont plus à l’abri que ceux sous Windows. Le nombre de menaces y est en effet bien moindre, mais cet écart ne cesse ne se réduire avec le temps. Même si aujourd’hui encore les machines Windows sont les plus visées pour des questions évidentes de parts de marché, il ne faut pas considérer pour autant que les ordinateurs d’Apple sont protégés de manière inhérente contre les malwares.

DOK rappelle à ce sujet à quel point l’utilisateur est encore et toujours le « maillon faible » de la chaine de sécurité. Car quelles que soient les mesures de protection présentes sur une machine, c’est lui qui peut donner à un logiciel malveillant son pouvoir de nuisance.

Simple comme une pièce jointe

DOK débarque sur un Mac sous forme d’une pièce jointe présente dans un email. Une technique vieille comme le monde mais qui fait toujours ses preuves. Selon CheckPoint qui révèle les détails de la menace, le courrier contient un texte expliquant que des incohérences ont été détectées dans les remboursements d’impôts. De quoi titiller la curiosité et amener les utilisateurs peu suspicieux vers la pièce jointe, qui contient évidemment les « détails ».

La pièce jointe déclenche immédiatement l’installation de DOK. Et si cette étape ne réclame aucun signalement particulier, c’est parce qu’elle est signée avec un authentique certificat de sécurité reconnu par Apple, capable donc de passer la protection GateKeeper. Le malware est ainsi reconnu comme un logiciel tout à fait valable, soulignant une fois de plus la fragilité de cette chaine de confiance. Le certificat apparait comme signé par Seven Muller en date du 21 avril et provient de Comodo.

Une fois en place, les choses sérieuses commencent.

Une cascade d’actions menant à la prise de contrôle totale

Comme l’indique CheckPoint, DOK s’installe dans le dossier /Users/Shared/ puis crée dans la foulée un nouvel élément loginItem nommé « AppStore » afin de s’exécuter automatiquement à chaque ouverture de session. Ce qui lui permet notamment d’insister jusqu’à son installation complète, au cas où la machine serait amenée à redémarrer avant qu’elle soit terminée.

Une fois cette étape franchie, DOK affiche une fenêtre présentant toutes les apparences d’un message provenant d’Apple. L’utilisateur se voit expliquer que des mises à jour pour OS X sont disponibles et invité à cliquer sur « Update All ». La fenêtre est large et s’épingle au-dessus des autres, empêchant l’utilisateur d’y accéder. Un comportement auquel Apple n’a jamais recours, ce qui est la dernière occasion d’avoir de gros soupçons.

Si la victime clique et valide l’action avec son mot de passe, DOK gagne alors les droits administrateurs sur la machine et installe Brew, un gestionnaire de paquets pour macOS. Il est utilisé ensuite pour déployer divers outils, dont Tor, qui va servir au malware pour communiquer tout ce que fait l’utilisateur.

Intercepter le trafic et piéger avec de fausses pages web

Les droits acquis servent également à modifier les paramètres réseau du système. DOK en profite ainsi pour autoriser toutes les connexions sortantes à passer par un proxy. Ce dernier est bien entendu fourni par le pirate, qui va pouvoir mettre autant d’attaques de type homme-du-milieu qu’il le souhaite.

La vraie menace pour l’utilisateur est le fonctionnement « transparent » des modifications ainsi réalisées. Dès qu’il va se rendre sur un site quelconque, le pirate va pouvoir le réorienter vers une fausse version. Et pour un peu qu’il visite un site bancaire ou de commerce en ligne, il pourrait être amené à fournir des informations très sensibles, qui seront alors dérobées.

Un malware particulièrement discret

DOK dispose de plusieurs attributs qui le rendent pénible à détecter. Apple a révoqué hier le certificat, mais toutes les installations ayant eu lieu avant restent actives. Par ailleurs, il est actuellement indétecté par la plupart des antivirus selon CheckPoint. Cela étant, maintenant qu’il a été trouvé et analysé, les signatures vont rapidement être mises à jour.

Signalons également que DOK, sitôt que l’attaque a réussi, se supprime de lui-même sans laisser de trace, ce qui a concouru à sa discrétion. Son objectif est en effet de préparer le terrain aux outils suivants, il n’a donc pas besoin de rester.

Notez qu’on ne sait pas exactement depuis quand DOK existe. Le certificat date bien du 21 avril et est donc très récent, mais d’autres versions ont pu être utilisées dans des déclinaisons antérieures du malware.

Recommandations et suppression de DOK

Comme indiqué, le certificat est maintenant révoqué, ce qui interdit toute installation discrète. Le cas de DOK rappelle cependant qu’en dépit de toutes les mesures qui peuvent être prises, aucune sécurité ne peut être sérieuse si l’utilisateur n’applique pas lui-même quelques règles élémentaires de sécurité, dont le doute systématique de toutes les pièces jointes dans les emails. La vigilance sera donc toujours de mise.

Pour vérifier si vous êtes infecté par DOK, il faut se rendre dans les Réglages de macOS, puis dans Réseau. Dans les paramètres de la connexion active, on se rend alors dans l’onglet Proxy puis on clique sur Configuration automatique du proxy. Si une adresse de type « http://127.0.0.1 » est présente, c’est que la machine a été contaminée.

iMore liste l’ensemble des manipulations nécessaires pour se débarrasser complètement de DOK. Outre la suppression de l’adresse mentionnée, il faudra effacer deux fichiers, et surtout le fameux certificat.