OSX/Dok n’aura pas fait long feu. Apple a confirmé auprès de Macworld que ce malware ne pouvait plus sauter par dessus la barrière de Gatekeeper, le mécanisme de protection de macOS : le constructeur a tout simplement révoqué le certificat développeur de cette vraie-fausse application, ce qui l’empêche de se lancer sans que s’affiche une alerte. Il y a aussi fort à parier que la base de données de signatures de malwares XProtect va être mise à jour (si ce n’est pas déjà fait).
OSX/Dok a défrayé la chronique la semaine dernière. Ce logiciel malveillant, qui cible en premier lieu les utilisateurs européens anglophones et germanophones, se transmet par courriel. Il prend la forme d’une archive Zip qui, une fois lancée, installe une application qui affiche une alerte — bidon — sur tout l’écran. L’utilisateur peu averti cliquera sur l’unique bouton de cette fenêtre, et c’est là que les problèmes commenceront.
Le malware va mettre en place un proxy qui reroutera les connexions internet vers un serveur tiers (lire : OSX/Dok, un nouveau malware qui dupe Gatekeeper). Comme toujours, on rappellera qu’il faut jouer de prudence lors de la réception d’archives Zip, en particulier de correspondants inconnus. Et se méfier de ce type d’alerte qui ne ressemble pas à celles habituelles de macOS.
Mise à jour — XProtect contient bien les définitions du malware.
