Un nouveau logiciel malveillant connu sous le nom de OSX/Dok a sévi sur de nombreux Mac. Le malware trompe Gatekeeper, la première ligne de défense du système d’exploitation d'Apple en se faisant passer pour une application légitime grâce à un certificat développeur valide.

L’attaque de l’OSX/Dok suit toujours le même mode opératoire. Les victimes reçoivent un mail provenant d'agences gouvernementales suisses, lesquelles y indiquent une incohérence dans la déclaration fiscale du destinataire. Le malware se cache alors dans la pièce jointe « Dokument.zip ». En l’ouvrant, l’utilisateur permet au logiciel malveillant de se copier dans le répertoire Utilisateurs/Partagé. Le programme lance ensuite un faux message d’erreur qui demande une mise à jour du système. Il faut ensuite entrer son mot de passe afin que la boîte de dialogue ne bloque pas complètement la machine. Disposant des droits d’administrateur, OSX/Dok installe alors des modules visant à détourner le trafic web de la machine vers un serveur proxy pirate. Cette attaque de l'homme du milieu (HDM) permet au hacker d’accéder à des données sensibles comme les comptes bancaires en ligne, les mails ou les publications Facebook.

Apple a déployé un correctif via la cinquième bêta de macOS 10.12.5 et a ainsi bloqué le certificat développeur d’OSX/Dok. Le malware ne devrait plus tromper Gatekeeper.

