En pocas ocasiones, nos toca hablar de un malware que esté afectando a un número significativo de usuarios de macOS. La razón es que la mayoría de los ataques siguen enfocándose en sistemas operativos Windows y ahora, en gran medida, en Android. Pues bien, Dok es un malware para macOS que esta precisamente causando mucha preocupación por los expertos en seguridad por válidas razones.
En principio Dok, a diferencia de muchos malware, utiliza conexiones Tor para evadir su detección. Incorpora un certificado válido de Apple que lo habilita para interceptar las comunicaciones del navegador que utilicemos y de esta forma, sustraer nuestros datos de navegación.
Pero las preocupaciones no acaban en la forma en que opera Dok. Resulta que este malware, diseminado principalmente a través de campañas de phishing, no logra ser detectado por la mayoría de las antivirus en el mercado. Es más, al momento de escribir estas líneas hemos confirmado desde TekCrispy que Dok no puede ser detectado ni siquiera por VirusTotal.
¿Cómo se distribuye Dok?
Cabe señalar primeramente, que los usuario afectados principalmente son aquellos que residen en países europeos. Se difunde principalmente a través de emails que aplican técnicas de phishing y que al final instan al usuario a descargar un archivo supuestamente comprimido. Este en realidad es una aplicación que al momento de ser ejecutada inyecta el malware en nuestro sistema.
Vale la pena aclarar en este punto, que todas las versiones de macOS hasta la fecha son vulnerables. Acto seguido, elimina su archivo de origen y muestra errores al usuario de que el archivo no pudo ser abierto. Curiosamente dicha ventana no puede ser abierta.
Luego de esto, el malware elimina la aplicación App Store del ordenador de la víctima. Solicita entonces la contraseña de la víctima para ejecutar tareas administrativas, supuestamente para instalar una actualización pendiente. Sin embargo, lo que persigue es tener permisos de administración. Así, consigue instalar un certificado root que permite a los hackers interceptar todo el tráfico web de la víctima. En otras palabras, todas tus cuentas, datos bancarios y transacciones en line quedarán expuestas.
¿Qué hacer para protegerse y eliminar Dok si ya fui infectado?
Afortunadamente, Apple ya esta tomando medidas cautelares y que pueden rápidamente frenar la diseminación de este malware. Una de las primeras es que ha revocado el certificado utilizado por Dok. Esto evitará que todo ordenador que esté actualizado y se conecte a los servidores de Apple evitará que Dok sea instalado al no aceptar el certificado. También se ha actualizado la herramienta llamada Xprotect de Apple que ayuda a identificar amenazas.
Malwarebytes por su parte ha dicho que su herramienta antimalware para macOS esta no solo capacitada para detectar la infección con este malware, sino también para eliminarlo. Todo aquel que haya sido víctima de Dok debería ejecutar un análisis con Malwarebytes anti-malware.
Puntos claves:
- Debemos estar más al pendiente de los programas a los que les concedemos permisos de administración.
- Que Apple haya revocado el certificado actualmente usado por Dok no significa que ya erradicaron la amenaza. Nada quita que logren utilizar otro certificado para seguir infectando.
- Tener más cuidado con los correos Spam. Los hackers están utilizando campañas de mensajes masivos para difundir este tipo de malware, justo como en los viejos tiempos.
