Le malware OSX/Dok représentait une sérieuse menace pour les utilisateurs de Mac car il utilisait un faux certificat valide aux yeux d’Apple. Il permettait de passer outre les protections antivirus.
Apple vient de mettre fin à la menace du cheval de Troie DOK, découverte par la firme de sécurité CheckPoint et touchant surtout l’Europe via des e-mails ciblés. Un certificat authentifié par Apple était utilisé par le malware afin d’infecter silencieusement toutes les machines sur lesquelles il a pu être présent.
OSX/DOK est redoutable car il permet l’espionnage complet de l’utilisateur : accès à toutes les données et interception de toutes les communications via une attaque de type Man in The Middle (MiTM), y compris celles étant chiffrées via SSL. Le tout étant exfiltré de la machine via une redirection par un faux serveur proxy malicieux puis via Tor, qu’il installe en amont sur le Mac infecté.
Apple a révoqué très rapidement le certificat qui était en cause et qui permettait de passer outre la protection Gatekeeper. XProtect a aussi été mis à jour et est capable de stopper la menace.
Notons au passage que bon nombre d’utilisateurs de macOS se considèrent à tord à l’abri des menaces virales… Or, si l’on regarde les chiffres de 2016 dévoilé par un rapport McAfee, on voit une explosion de près de 744% des malwares ! Leur nombre passe de 50 000 au début 2016 à 450 000 en fin d’année. Cela n’augure rien de bon pour cette année donc… Même si les e-menaces MacOS restent moindre que sous Windows, les courbes tendent à se rapprocher au fil du temps, l’évolution dépendant essentiellement des parts de marché des deux OS.